março 08, 2017

[Segurança] IoT espião

Já não devia ser novidade para ninguém o risco de sermos monitorados inadivertidamente pelos diversos dispositivos tecnológicos que nos cercam, desde o vazamento irresponsável de dados coletados por brinquedos inteligentes até Smart TVs sendo infectadas pela CIA para espionagem.

Desde a famosa "webcam no notebook" (que preocupa o Mark Zuckerberg e até mesmo o Papa), frequentemente vemos notícias que nos mostram o risco representado pelos equipamentos e dispositivos conectados na Internet e que ficam constantemente "vendo" e "ouvindo" o ambiente. Tal onda tecnológica começou provavelmente com os smartphones que reconheciam comandos de voz (ou transcrevem textos a partir da voz) e atualmente tal recurso está espalhado por diversos dispositivos no mundo IoT, como aparelhos domésticos (centrais de multimídia, por exemplo), carros e até mesmo brinquedos.


Veja, por exemplo o Amazon Echo: a partir de 49 dólares, você pode ter um dispositivo doméstico que reconhece comandos de voz para tocar músicas, controlar sua smart TV ou gerenciar a automatização de toda a sua casa.


O problema começa porque estes aparelhos "ouvem demais" - intencionalmente ou não! Geralmente, eles ficam captando sons do ambiente o tempo todo, a espera de reconhecer alguma frase específica, que vai indicar o início de um comando (como "Oi Siri" do iPhone, o "OK Glass" que era comum no Google Glass e o "Alexa" no Amazon Echo). Além disso, muitas empresas utilizam um serviço externo de reconhecimento de voz, via Internet, então por isso todo som capturado pelo dispositivo tem que ser enviado para algum lugar na Internet.



Ou seja: a princípio, tudo o que o seu aparelho ouve é enviado para um servidor de alguma empresa.

E alguns casos recentes nos mostram o quanto isso pode representar de risco a nossa privacidade:
  • Acabamos de saber, através do Wikileaks, que a CIA consegue invadir Smart TVs, smartphones e carros para capturar sons, imagens e até mesmo mensagens de texto através destes dispositivos. No caso das Smart TVs, uma ferramenta da CIA consegue colocar ela em um modo batizado de "Fake-Off": a vítima pensa que desligou a TV, mas ela continua ligada, gravando sons e enviando-os para servidores da CIA;
  • Crianças tiveram sua privacidade exposta através de problemas de segurança nos Cloud Pets, da empresa Spiral Toys, bichinhos de pelúcia que ouvem e reproduzem mensagens para seus pequenos donos. Além de ser possível conectar qualquer dispositivo Bluetooth neles, para capturar o som ambiente, também foi identificada uma base de dados exposta na Internet com 2.2 milhões de arquivos de áudio gravados por pais e crianças, além de senhas de 821.000 contas;
  • Segundo documentos da justiça americana, por pelo menos 15 anos o FBI tem utilizado recursos de conectividade em carros (como localização e áudio dentro do carro) para vigiar ou rastrear criminosos. Isso nos dá uma nova buzzword: "Cartapping";
  • Em um caso de assassinato em Arkansas (EUA), a polícia exigiu que a Amazon cedesse todo o áudio capturado pelo Echo durante o provável horário do homicídio. O mais interessante é que a Amazon não cedeu os dados, mas a polícia percebeu pelo smart meter que houve um grande consumo de água de madrugada, que poderia ter sido utilizada pelo suspeito para limpar a cena do crime;
  • A fabricante de Smart TVs Vizio foi multada em US$ 2,2 milhões por coletar dados de seus clientes secretamente e revendê-los a terceiros, tudo isso sem o conhecimento e muito menos sem o consentimento dos clientes.


Estes dispositivos conectados, muitos dos quais desenvolvidos sem cuidados básicos de segurança, podem ser usados contra nós a partir do momento em que representam diversos pontos de entrada a nossas empresas ou residências, que podem ser explorados por empresas, governos, agências de espionagem e ciber criminosos.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.