Uma vulnerabilidade crítica nos dispositivos domésticos inteligentes Shelly deixou mais de 5,2 milhões de lares europeus em risco de acesso não autorizado. Os investigadores de segurança da Pen Test Partners descobriram que a última geração (Geração 4) de dispositivos Shelly mantém um ponto de acesso Wi-Fi oculto permanentemente ativo, mesmo depois de se ligar a uma rede doméstica. Esse backdoor permite que qualquer pessoa próxima contorne as medidas de segurança, ganhando potencialmente o controle de portas, portões e outros dispositivos conectados.
A porta dos fundos oculta explicada
Ao contrário dos modelos Shelly mais antigos, que desligam automaticamente o ponto de acesso temporário após a configuração, os dispositivos Gen 4 o deixam funcionando indefinidamente. Esta falha de design cria um ponto de entrada invisível para hackers, permitindo-lhes explorar a rede do proprietário sem o seu conhecimento.
As consequências são graves. Um invasor pode usar esse ponto de acesso aberto para desbloquear fechaduras inteligentes, abrir portas de garagem ou desativar sistemas de segurança – tudo isso sem acionar alarmes ou deixar rastros óbvios.
Risco de rede mais amplo
O problema vai além dos dispositivos Shelly. Um único dispositivo Gen 4 comprometido pode atuar como gateway para toda uma rede doméstica inteligente, incluindo dispositivos de outros fabricantes. Muitas famílias europeias misturam marcas de casas inteligentes, o que as torna particularmente vulneráveis. A questão não é apenas a falha de um produto; trata-se de falhas em cascata em sistemas interconectados.
Resposta Atrasada, Responsabilidade do Usuário
Pen Test Partners notificou Shelly sobre a vulnerabilidade, levando a empresa a lançar o Firmware 1.8.0 como uma correção. No entanto, a atualização requer instalação manual e a maioria dos usuários não sabe que precisa tomar medidas. De acordo com Ken Munro, fundador da Pen Test Partners, Shelly tem demorado a comunicar o problema devido a questões de reputação.
Shelly afirma que seu aplicativo móvel orienta os usuários a proteger os dispositivos de maneira adequada, mas isso depende do cumprimento dos procedimentos oficiais de configuração. Os usuários que configuram manualmente seus dispositivos recebem avisos sobre a segurança do ponto de acesso. Uma próxima atualização de firmware desabilitará automaticamente o ponto de acesso aberto após um período de tempo limite, mas até então, os proprietários devem tomar a iniciativa.
A tendência crescente das vulnerabilidades da IoT
Este não é um incidente isolado. Dispositivos domésticos inteligentes são cada vez mais alvo de hackers, com campainhas Amazon Ring e câmeras de segurança Dahua entre as vítimas recentes. A questão subjacente é a corrida ao mercado sem priorizar medidas básicas de segurança.
Os fabricantes frequentemente coletam dados de usuários para melhorar produtos, mas esse vazamento de dados pode revelar padrões comportamentais que os hackers exploram. O problema não são apenas falhas de hardware; também são práticas inadequadas de gerenciamento de dados.
“Vimos problemas semelhantes em inversores solares e até encontramos uma vulnerabilidade semelhante num carro há mais de 10 anos.” – Ken Munro, parceiros de teste de caneta
A ascensão dos dispositivos conectados significa mais superfícies de ataque para agentes mal-intencionados. Até que os fabricantes priorizem a segurança por padrão, os consumidores permanecerão vulneráveis.
O resultado final é claro: a segurança doméstica inteligente é tão forte quanto o seu elo mais fraco. Até que as empresas resolvam estas falhas fundamentais e os consumidores tomem medidas proativas para proteger as suas redes, as casas inteligentes continuarão a ser o principal alvo dos hackers.
