O que realmente mudou não foi o paradigma do conceito, mas sim a abrangência dos objetos, que foram adicionados e conectados em rede, podendo ser hoje em dia automaticamente controlados remotamente de qualquer lugar do mundo através da Internet e, como tal, o conceito de Internet of Things está bem presente nesta realidade de dispositivos que operam em ambientes domésticos.

Dessa forma, entende-se facilmente que estes objetos tem a capacidade de lidar e interagir diariamente com dados pessoais sensíveis de seus proprietários, que são transmitidos pela internet, expondo assim informação que pode ser capturada, caso não se utilize protocolos de encriptação suficientemente fortes a garantir a confidencialidade dos dados.

Este fato levanta grandes preocupações na sociedade e questões relacionadas com segurança, privacidade e armazenamento de dados, que os tornam alvos apetecíveis para cybercriminosos, que veem uma forma de capturar informações sensíveis sobre indivíduos, tornando-os, posteriormente, alvos fáceis de novos ataques, relacionados com roubo de identidade, fraude, phishing, entre outros.

Um estudo recente levado a cabo por pesquisadores da ESET revela várias vulnerabilidades em dispositivos de casas inteligentes como: câmeras, sensores e sistemas de gestão.

Inicialmente, foram testados doze produtos de oito conhecidos fabricantes, tendo um deles ficado de parte, pois apresentou um número grande de vulnerabilidades, como refere o Anscombe (2018): “O processo de login da rede local não estar totalmente autenticado, a sua opção padrão era permitir o login automático, que ignora a necessidade de credenciais padrão, como ID do usuário e Senha”.

Este dispositivo era um painel de controle de automação residencial que tem a capacidade de gerenciar sensores de movimento, controles de aquecimento, motores de obturador, sensores de ambiente e tomadas inteligentes.

Um outro estudo realizado por Valiev (2018), revelou várias preocupações relacionadas à smart home, quando esta mudava de dono, ou era alugada ou emprestada a um terceiro, pois normalmente os dispositivos armazenam várias informações confidenciais, provenientes das leituras diárias dos dispositivos, preferências de conta dos proprietários e credenciais de rede.

Na maioria dos casos, essas informações confidenciais são armazenadas dentro de um cartão de memória no dispositivo e enviados para uma plataforma de cloud, central para administração, sem mecanismos de segurança adequados, isto introduz várias ameaças contra informações confidenciais relacionadas aos proprietários.

A informação pode ser interceptada em trânsito com um ataque do tipo man-in-the-middle, por wireless, e toda a informação ser lida caso não se esteja a utilizar protocolos de encriptação de dados para se estabelecer as sessões.

O dispositivo também pode mudar de proprietário e este não ter forma de proteger os dados que ficaram armazenados e que posteriormente podem ser extraídos com técnicas forense, ou simplesmente o dispositivo não tem a capacidade de detetar a alteração de propriedade e, assim, proteger os dados antigos do novo dono, não estabelecendo regras de controle de acesso adequadas para ambas as partes: o proprietário anterior e o novo.

Medidas inadequadas de segurança para mitigar possíveis ameaças fornecem a possibilidade de um invasor obter acesso às informações confidenciais do proprietário.

Todos estes temas são levantados cada vez mais e devem preocupar tanto empresas que fabricam e comercializam estes equipamentos, como compradores de futuros dispositivos para Smart Homes, pois eles tem um poder intrusivo bastante grande na vida das pessoas, com recolha de dados da identidade digital dos proprietários que podem ser facilmente explorados e comercializados para outros fins que não os de proporcionar uma melhor qualidade de vida permitindo se desfrutar em segurança da tecnologia disponível.

Opinião de Carlos Rodrigues, Cyber Security Engineer