Pesquisadores hackearam remotamente fechaduras inteligentes U-Tech; Nenhuma outra marca afetada

Last updated Abr 15, 2022

U-Tec

Você pode ter visto que os pesquisadores descobriram um hack para abrir fechaduras inteligentes com apenas um endereço Mac. A boa notícia é que apenas uma marca de fechadura inteligente, a U-Tec, teve o problema. E melhor ainda, está remendado. Atualize seus cadeados inteligentes agora se você possui um cadeado inteligente UltraLoq.

Recentemente, os pesquisadores descobriram que, com algumas ferramentas relativamente simples (embora técnicas), eles poderiam desbloquear remotamente as fechaduras inteligentes U-Tech UltraLoq com apenas um endereço MAC. Obter todas as informações para hackear a porta não foi difícil, porque a própria fechadura transmitia os dados. Felizmente, a empresa já implementou uma correção.

As fechaduras inteligentes são uma adição conveniente à sua casa e podem ajudá-lo com a segurança. Além de destravar e trancar sua casa remotamente ou sem desenterrar uma chave, você pode ativar cronômetros e rotinas para garantir que a porta esteja trancada quando você sair ou durante a noite. Mas adicionar um rádio a qualquer face de sua casa acaba introduzindo uma vulnerabilidade.

No caso de fechaduras inteligentes, esse é um risco insignificante, pois todas as fechaduras já são vulneráveis a lockpicking. Conforme demonstrado várias vezes no YouTube, provavelmente é mais fácil e barato aprender a arrombar fechaduras do que aprender a hackear dispositivos IOT.

Ainda assim, isso não deixa os armários inteligentes fora do gancho, qualquer dispositivo focado em segurança, como um cadeado, deve ser seguro de todas as maneiras possíveis. Infelizmente para a U-Tec, que fabrica a fechadura inteligente UltraLoq, os pesquisadores da Tripwire descobriram algumas falhas na segurança da empresa. Os pesquisadores procuraram vulnerabilidades do MQTT e encontraram algumas na configuração do UltraLoq.

O MQTT é um sistema que muitos fabricantes de IOT usam para transmitir mensagens entre dispositivos. Os pesquisadores da Tripwire usam termostatos e sistemas HVAC como exemplo. O MQTT permite que os termostatos em diferentes salas transmitam informações de temperatura sobre a sala e o sistema HVAC para “assinar" e reagir adequadamente.

No caso de fechaduras inteligentes UltraLoq, esse sistema está em uso entre a fechadura inteligente e uma ponte Wi-fi emparelhada por Bluetooth. Esse é um sistema padrão usado em fechaduras inteligentes para adicionar capacidade remota, mantendo a fechadura pequena e compacta.

Com alguma pesquisa, os pesquisadores descobriram UltraLocs transmitindo informações para a internet contendo endereços de e-mail e outros dados. Uma olhada mais de perto no cadeado rendeu um método para raspar o endereço Mac do cadeado, o endereço IP e muito mais. Isso é informação suficiente para identificar indivíduos e até mesmo desbloquear remotamente uma porta.

A boa notícia é que a Tripwire divulgou o problema com responsabilidade para a U-Tec e deu muitos detalhes sobre o problema. No início, os patches da U-Tec não resolveram o problema, mas a Tripwire continuou a fornecer feedback. Eventualmente, a U-Tec acertou e agora a Tripwire está divulgando publicamente a informação.

Cada dispositivo doméstico inteligente que você introduz em sua casa é uma nova fonte de vulnerabilidade. Isso é algo a ter em mente se você estiver pensando em adicionar qualquer coisa conectada à Internet em sua casa. Mas os fabricantes responsáveis corrigirão as vulnerabilidades descobertas, portanto, se você tiver dispositivos domésticos inteligentes, a coisa mais importante a fazer é mantê-los atualizados.

Fonte: Tripwire

Fonte de gravação: www.reviewgeek.com