Cadeados inteligentes podem ser realmente úteis. Há diversos no mercado e muitos tipos diferentes para escolher.
Algumas fechaduras são capazes de detectar quando o proprietário (ou melhor, o smartphone) está se aproximando e abrir sem chave. Outras são controladas remotamente, permitindo abrir a porta para amigos ou parentes quando não há ninguém em casa. Algumas ainda oferecem vigilância por vídeo: alguém toca a campainha e você vê imediatamente no smartphone quem é.
No entanto, os dispositivos inteligentes trazem riscos com os quais os usuários de fechaduras offline tradicionais nunca precisariam se preocupar. Um estudo meticuloso desses riscos revela três motivos completos para manter o modo antigo. Vamos conferir…
O problema aqui é que as fechaduras inteligentes combinam dois conceitos diferentes. Em teoria, essas fechaduras devem ter um componente inteligente confiável e, ao mesmo tempo, fornecer proteção robusta contra adulteração física para que não possam ser abertas com uma chave de fenda ou um canivete, por exemplo. Combinar esses dois conceitos nem sempre funciona: o resultado geralmente é uma fechadura inteligente frágil ou um cadeado de ferro resistente com software vulnerável.
Já falamos sobre alguns exemplos particularmente notórios de fechaduras incapazes de fazer seu trabalho em outro post. Eles incluem um cadeado interessante com um scanner de impressão digital – sob o qual há um mecanismo de abertura potencialmente acessível a qualquer pessoa (uma alavanca). Além disso, um cadeado inteligente para bicicletas – que pode ser desmontado com uma chave de fenda.
Tornar o componente “inteligente” seguro o suficiente também não é fácil. É importante lembrar que os desenvolvedores desses dispositivos geralmente priorizam a funcionalidade acima da proteção. O exemplo mais recente é o Akuvox E11, um dispositivo criado não para uso doméstico, mas para escritórios. O Akuvox E11 é um interfone inteligente com um terminal para receber um fluxo de vídeo da câmera embutida, além de um botão para abrir a porta. E, como é um dispositivo inteligente, você pode controlá-lo pelo aplicativo para smartphone.
O software foi implementado de tal forma que qualquer pessoa pode ter acesso ao vídeo e ao som da câmera a qualquer momento. E se você não pensou em isolar a interface da Web da Internet, qualquer um poderá controlar a fechadura e abrir a porta. Este é um exemplo clássico de desenvolvimento de software inseguro: solicitações de vídeo não têm verificações de autorização; parte da interface da Web é acessível sem senha; e a senha é fácil de decifrar, devido à criptografia com uma chave fixa que é a mesma para todos os dispositivos.
Quer mais exemplos? Aqui vai… Este artigo fala sobre uma fechadura que permite que intrusos próximos obtenham a senha da sua rede Wi-Fi. Aqui, um cadeado inteligente protege mal a transferência de dados: um invasor pode escutar o canal de rádio e tomar o controle. E aqui está outro exemplo de uma interface da Web insegura.
Um smartphone típico recebe atualizações por dois ou três anos após seu lançamento. Quanto aos dispositivos IoT econômicos, o suporte pode estar indisponível ainda mais cedo. Atualizar um dispositivo inteligente pela Internet é bastante simples. No entanto, manter o suporte a dispositivos requer recursos e dinheiro por parte do fornecedor.
Isso por si só pode ser um problema, por exemplo, quando o fornecedor desativa a infraestrutura na nuvem e o dispositivo para de funcionar. Mas, mesmo se a funcionalidade de bloqueio inteligente for preservada, vulnerabilidades desconhecidas do fornecedor no momento do lançamento ainda podem aparecer.
Por exemplo, em 2022, os pesquisadores descobriram uma vulnerabilidade no protocolo Bluetooth de Baixo Consumo de Energia, que muitas empresas adotaram como padrão para autenticação sem contato ao desbloquear vários dispositivos (incluindo bloqueios inteligentes). Essa vulnerabilidade abre a porta (por assim dizer) para os chamados ataques de relay, que exigem que o invasor esteja perto do proprietário da fechadura inteligente e use um equipamento especial (mas relativamente barato). Armado com esse hardware, o invasor pode retransmitir sinais entre o smartphone da vítima e a fechadura inteligente. Isso engana a fechadura inteligente fazendo-a pensar que o smartphone do proprietário está por perto (e não em um shopping center a cinco quilômetros de distância), e então o dispositivo desbloqueia a porta.
Como o software de cadeado inteligente é altamente complexo, a probabilidade de conter vulnerabilidades graves nunca é zero. Se uma for descoberta, o fornecedor deve lançar imediatamente uma atualização e enviá-la para todos os dispositivos vendidos. Mas e se o modelo foi descontinuado ou não for mais compatível?
Com os smartphones, resolvemos esse problema comprando um novo dispositivo a cada dois ou três anos. Com que frequência você planeja substituir uma fechadura da porta conectada à Internet? Geralmente, esperamos que esses dispositivos durem décadas, não alguns anos (até que o fornecedor retire o suporte ou desapareça do mercado).
Tenha em mente que todos os tipos de fechaduras (não apenas os inteligentes) podem se quebrar. No entanto, ao decidir instalar um dispositivo inteligente ao invés de uma fechadura padrão, pense com cuidado: você realmente precisa poder abrir a porta usando seu smartphone? Se você responder sim a essa pergunta, pelo menos considere os seguintes pontos:
Fonte: Karspersky