Falha em SKD coloca sob risco câmeras e dispositivos IoT

Uma falha em um kit de desenvolvimento de software (SDK) usado por fabricantes de câmeras de segurança pode permitir que hackers tenham acesso remoto às imagens capturadas. Pesquisadores da Nozomi Networks, empresa de cibersegurança para os setores industrial e de Internet das Coisas (IoT), revelaram que a vulnerabilidade atinge o SDK P2P, fornecido pela empresa ThroughTek a muitos OEMs produtores de câmeras de segurança e outros dispositivos IoT.

No contexto das câmeras de segurança, P2P se refere à funcionalidade que permite acessar fluxos de áudio e vídeo pela Internet. A Nozomi Networks identificou a vulnerabilidade em março de 2021 e a reportou a ThroughTek, que reconheceu o problema imediatamente.

Segundo Nozomi Networks, a ThroughTek também notificou os clientes e se comprometeu a corrigir a vulnerabilidade adicionando uma “camada de criptografia baseada em DTLS ECDSA-PSK”. Uma página Web da ThroughTek, datada de junho de 2021, abordando a vulnerabilidade do SDK, aconselha habilitar a funcionalidade de segurança ou atualizar para uma versão atual. Um alerta sobre a falha também foi emitido pela Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA), que aconselhou os OEMs a tomarem medidas para evitar a exploração de seus dispositivos.

Como a biblioteca P2P da ThroughTek é integrada por vários fornecedores em muitos dispositivos diferentes, é quase impossível rastrear os produtos afetados.

Os pesquisadores da Nozomi Networks advertem que a melhor maneira de evitar que o conteúdo capturado pelas câmeras seja visualizado por estranhos via Internet é desabilitar a funcionalidade P2P. Essa função só dever ser habilitada em raras situações e quando o fornecedor garantir que algoritmos usados por seus produtos são seguros. Infelizmente, a maioria dos usuários não terão habilidades nem inclinação para questionar isso.

Não se deve esquecer da lição dada pelo caso SolarWinds sobre ataques do tipo supply chain, que corrompem um determinado processo e dissemina problemas por vários setores. É o que também pode acontecer, por exemplo, com câmeras de vigilância vulneráveis. Por exemplo, um incidente recente envolvendo a empresa Verkada, que oferece serviços de segurança usando câmeras conectadas à Internet e plataformas na nuvem para compartilhar os vídeos, acabou expondo transmissões ao vivo de 150 mil câmeras de vigilância dentro de hospitais, departamentos de polícia, prisões e escolas. Envolveu também a montadora Tesla e a empresa de software Cloudflare.

Vigiando quem vigia

A soluções de vigilância representam a maior área tecnológica para cidades inteligentes, e entre elas estão as câmeras IP (conectadas à Internet). No entanto, parecem não estar recebendo a devida atenção quando se trata de cibersegurança. E já se vão vários anos desde que incidente com o botnet Mirai derrubou importantes servidores DNS e, consequentemente, grandes sites nos Estados Unidos e na Europa em 2016, tendo como origem dispositivos IoT, como câmeras e players DVR.

Certamente, parte da responsabilidade pela displicência em relação à segurança das câmeras IP é dos fabricantes, OEMs e dos desenvolvedores de SDK como a ThroughTek, porém usuários também são um elo importante na gestão da cibersegurança, principalmente no que diz respeito a senhas. Muitos acabam deixam os equipamentos com as senhas padrão, que vêm de fábrica. Nesse quesito, os fabricantes poderiam colaborar,  forçando os usuários a modificar as senhas logo na instalação. Talvez não façam isso para evitar um fluxo maior de chamadas de suporte técnico.

Uma forma de mudar esse cenário seria os consumidores passarem a considerar a segurança entre os fatores relevante durante o processo de seleção de compra, não apenas preço e desempenho.  É certo que a tarefa de verificar se uma câmera é mais segura do que outra pode não ser fácil para consumidores medianos, sem conhecimento técnico, porém existem hoje, mais do que em 2016 por ocasião do ataque do Mirai, muito mais análises de produtos publicadas na Internet. Enfim, deve-se pensar nas câmeras IP como qualquer outro equipamento conectado à Internet e, que por isso, é suscetível a ciberataques. Também devem sofrer atualizações e correções, caso falhas sejam identificadas.

Além dos ataques de hackers, câmeras conectadas à Internet também podem ser exploradas para invadir a privacidade de pessoas ou ambientes de empresas. Visite o mecanismo de pesquisa IoT Shodan.io, procure por nomes de câmeras populares e verá imagens, por exemplo, de centros urbanos, espaços de produção, entre outros – sinal de que a privacidade foi negligenciada.

Enfim, como prevenir é melhor do que remediar, vale a pena saber se suas câmeras IP possuem vulnerabilidades para, então, eliminá-las antes que hackers façam a festa. O banco de dados de vulnerabilidades de segurança CVE pode ser muito útil, pois rastreia as falhas em todos os tipos de dispositivos IoT e permite pesquisas por fabricante, produto e versão, revelando falhas específicas e os respectivos níveis de gravidade. Mãos à obra!