Hardware

O Ransomware também já pode infectar um simples termóstato

23 Comentários

A chegada da Internet aos nossos equipamentos do dia-a-dia representa novos desafios de segurança e de protecção de dados dos utilizadores. Cada vez mais são alvos de ataques e até podem ser usados para conseguirem eles próprios realizar novos ataques.

Se a este ecossistema juntarmos os mais recentes problemas de segurança, então a questão fica ainda maior. Dois investigadores mostraram aqui que até um simples termóstato pode ser atacado e, neste caso, ser vítima de ransomware.

Termóstato Ransomware

Estes dois investigadores de segurança testaram a protecção que um simples termóstato e conseguiram com extrema facilidade bloqueá-la, obrigando ao pagamento de uma “quantia simbólica de 1 bitcoin”.

Este aparelho, que permite aos utilizadores alterarem a imagem de fundo do seu mostrador e a configuração de outros elementos, corre uma versão de Linux. A falha está nas permissões que são dadas por este equipamento, que corre com o utilizador root. Há ainda o problema de não verificar o tipo de ficheiro que recebe, abrindo assim a porta para ser atacado.

Em poucos minutos foi possível correr um simples ficheiro javascript, escondido numa imagem, e exibir depois a mensagem de resgate. Os atacantes podem também controlar a temperatura dos termóstatos, aumentando-a ou diminuindo-a a seu gosto.

Termóstato

Os dois investigadores que descobriram este problema admitem que infectá-lo pode não ser tão simples como poderia ser esperado. Existe a necessidade de haver acesso físico ao equipamento, para que depois seja carregada, via cartão SD, a imagem infectada. Ultrapassado este passo, o mais difícil de todos, é possível aos atacantes controlar remotamente este termóstato.

Por ter sido descoberta imediatamente antes de ser apresentada, os investigadores optaram por omitir a marca destes termóstatos. A empresa que o fabrica já foi contactada para resolver este problema e proteger os seus equipamentos contra estes ataques.

Esta é apenas mais uma prova que a Internet das Coisas e todos os equipamentos associados precisam de ser bem protegidos contra vulnerabilidades de segurança. É uma área nova e onde ainda se anda a descobrir como pode ser usada, mas estas preocupações devem estar presentes desde o primeiro dia!

Thermostat Ransomware: a lesson in IoT security

Leia também: Ransomware: Sabe o que é e como se previne?

PUB
Autor: Pedro Simões
Partilhar:
Tags:
Internet iot Ransomware termóstato

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Usa proxies anónimos? Tenha cuidado
Artigo anterior

Usa proxies anónimos? Tenha cuidado
Apple Watch 2 com GPS e à prova de água ainda em 2016?
Próximo artigo

Apple Watch 2 com GPS e à prova de água ainda em 2016?
PUB

Comentários

23

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Ricardo Ribeiro
    Ricardo Ribeiro

    “quantia simbólica de 1 bitcoin” portanto 539.5€ é simbólico.

    Responder
    1. Avatar de Mota
      Mota

      +1

      Responder
    2. Avatar de Vítor M.
      Vítor M.

      Sim é “simbólico” face aos valores que tem sido pedido (e por vezes pago) nos resgates de equipamentos empresariais.

      “The majority of ransom demands range from a few hundred to a few thousand dollars with several companies paying upwards of $10,000 or more.”

      Como vês, este ataque de facto ao pé desse valor é “simbólico”.

      Responder
    3. Avatar de gsilva
      gsilva

      para ti pode nao ser simbolico, mas para mim já é….

      Responder
      1. Avatar de Acelock
        Acelock

        Fixe, podes dar-me o valor simbólico de 539.5€? Aceito paypal, transferência, e bitcoin.

        Responder
  2. Avatar de Matreco
    Matreco

    Quantia simbólica de 1 bitcoin? Sendo que a cotação actual do bitcoin anda à volta de 540 euros, onde está o simbólico nisso ?

    Responder
  3. Avatar de João Serra
    João Serra

    “simbólica de 1 bitcoin”… parece me que nao ando a ganhar o suficiente

    Responder
  4. Avatar de jimmy
    jimmy

    ja tou a ver ai os arrumadores a pedir 1 bitcoin 🙂

    Responder
  5. Avatar de Miguel
    Miguel

    NOTA:
    O valor do BITCoin é pequeno, o governos centrais é que imprimem em demasia fazendo o valor do BITCoin aumentar, pois é minerado menos Bitcoins do que é impressas notas de papel… just saying.

    Responder
  6. Avatar de Rui Pires
    Rui Pires

    essa “quantia simbólica” foi ironia não foi? ahah

    Responder
  7. Avatar de Radar
    Radar

    Por 1 bitcoin mais vale comprar uma centena de termostatos ……

    Responder
  8. Avatar de Utopia Realista
    Utopia Realista

    “admitem que infectá-lo pode não ser tão simples como poderia ser esperado. Existe a necessidade de haver acesso físico ao equipamento, para que depois seja carregada, via cartão SD, a imagem infectada.”

    LoL

    Responder
  9. Avatar de Pedro Centeio
    Pedro Centeio

    Eu sei que esta não é uma página sobre língua portuguesa mas, que diabo, termóstato? Com acento? Cruzes, credo!
    Provavelmente estava a pensar-se em termómetros…

    Abraço.

    Responder
    1. Avatar de Pedro Simões
      Pedro Simões

      Abre um bocadinho o expectro e aceita que possam ser usadas palavras que não estejas habituado a usar. Neste caso qualquer uma delas serve e ambas estão certas, logo, termóstato pode e dever ser usada.

      http://www.infopedia.pt/dicionarios/lingua-portuguesa/term%C3%B3stato
      http://www.priberam.pt/dlpo/term%C3%B3stato

      Responder
    2. Avatar de Acelock
      Acelock

      Que eu saiba um termostato serve para controlar temperatura, aumentar e reduzir, já um termómetro serve para medir temperatura.

      Responder
    3. Avatar de Pedro Centeio
      Pedro Centeio

      Ok, aceito a correcção e, de facto, estava errado. E também conheço a diferença entre um termóstato e um termómetro. Não era essa a ideia.
      Mas já agora, abrir o expectro? O que é isso? “Expectro” não existe em nenhum dos dicionários acima referidos. Até fica sublinhado a vermelho quando escrevo aqui neste comentário.
      Sugestão: Alargar horizontes…
      Obrigado.

      Responder
  10. Avatar de me and me
    me and me

    é a “beleza” do IoT….

    Responder
  11. Avatar de Carlos
    Carlos

    Opá, se é preciso acesso físico ao equipamento qual é o problema?

    Ou alguém está a ver um ácaro vir lá da Roménia ou da China ir a casa duma qualquer pessoa, sem deixar qualquer vestígio de o ter feito, só para instalar um crack no termóstato?

    Se fosse uma falha explorável remotamente seria um problema, mas assim não é.

    Responder
  12. Avatar de Bruno Martins
    Bruno Martins

    A Parte dos comentários relativamente ao valor do bitcoin, bla bla bla. Neste equipamentos há um obstáculo a ultrapassar pelo “hacker” e outro pela empresa que desenvolveu o equipamento.
    Primeiro é necessário acesso físico ao equipamento para colocar um cartão de memória o que por si já torna o ataque difícil. Por outro lado a empresa que desenvolveu o equipamento não deveria ter dado permissões de root a tudo e mais alguma coisa. Mas atenção que isto mostra um problema que existe na generalidade dos projectos que a malta desenvolve em casa com base no raspberry pi (Não sei se ao arduino se aplica o mesmo) que normalmente mete tudo a correr como root porque não sabem/ não querem saber como fazer as diferentes aplicações correrem com users separados ainda que no mesmo grupo….

    Responder
  13. Avatar de Marco Castro
    Marco Castro

    Aìnda não consegui perceber a utilidade destas notìcias. Toda a gente sabe que qq aoarelho que tenha software ou firmware pode ser atacado è tudo uma questão de programação…

    Responder
  14. Avatar de Manuel
    Manuel

    Serei só eu a ver a gravidade que é alguém poder controlar estes equipamentos que são no fundo a ‘segurança’ de muito equipamento doméstico e industrial?

    Responder
  15. Avatar de Joao
    Joao

    Mr. Robot…

    Responder
  16. Avatar de Arlindo
    Arlindo

    pra que serve o termostato numa moldura digital?

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.