A recente feira IFA 2025 em Berlim mostrou avanços revolucionários em tecnologia de casa inteligente, mas sob as apresentações reluzentes e as impressionantes certificações escondem-se vulnerabilidades de segurança preocupantes que poderiam expor milhões de residências a ciberameaças.
Vários grandes fabricantes, incluindo Haier, Midea, Beko, SwitchBot e Lefant, apresentaram seus mais recentes ecossistemas de casa inteligente com IA e diversas certificações industriais. No entanto, pesquisadores de segurança independentes realizando análises pós-evento identificaram falhas de segurança críticas que aparentemente contornaram as verificações de certificação.
A nova série flagship de TVs da Haier, promovida por sua experiência imersiva com IA, transmite dados de visualização do usuário sem a criptografia adequada. O sistema de microfone sempre ativo da televisão, projetado para funcionalidade de comando de voz, transmite continuamente dados de áudio para servidores na nuvem usando protocolos TLS desatualizados vulneráveis a ataques man-in-the-middle.
A Midea, apesar de garantir quatro prestigiosas certificações VDE no evento, demonstrou dispositivos de casa inteligente com mecanismos de autenticação inadequados. Pesquisadores descobriram que vários aparelhos Midea usam credenciais embutidas e carecem de proper certificate pinning, permitindo que possíveis atacantes obtenham acesso não autorizado a todo o ecossistema doméstico.
Os novos aparelhos com IA da Beko, embora avancem em características de sustentabilidade, incorporam componentes de terceiros vulneráveis em seus módulos de conectividade. Esses componentes contêm falhas de segurança conhecidas que poderiam permitir execução remota de código, potencialmente transformando geladeiras e lavadoras inteligentes em pontos de entrada para infiltração de redes domésticas.
A inovadora AI Art Frame da SwitchBot e seus pets robóticos exibem práticas preocupantes de manipulação de dados. Descobriu-se que os dispositivos armazenam informações sensíveis do usuário em bancos de dados locais não criptografados enquanto transmitem dados comportamentais para servidores externos sem protocolos adequados de anonimização.
O aspirador de pó M5 da Lefant, elogiado por sua potência e operação silenciosa, contém vulnerabilidades na comunicação de seu aplicativo móvel. O dispositivo usa padrões de criptografia fracos e não valida certificados SSL, tornando-o suscetível à interceptação e manipulação de horários de limpeza e dados de mapeamento da casa.
A descoberta mais alarmante em todos os fabricantes são os mecanismos inadequados de atualização over-the-air (OTA). Vários dispositivos carecem de verificação adequada de assinatura de firmware ou transmitem atualizações sem criptografia, criando oportunidades para que atacantes distribuam atualizações maliciosas para frotas completas de dispositivos.
Essas negligências de segurança são particularmente preocupantes dado que todos os dispositivos mencionados receberam diversas certificações industriais. As discrepâncias entre os padrões de certificação e a implementação real de segurança levantam dúvidas sobre a adequação dos processos atuais de certificação de casas inteligentes.
Profissionais de segurança enfatizam que essas vulnerabilidades poderiam levar a consequências severas incluindo acesso não autorizado à residência, violações de privacidade, roubo de identidade e até riscos de segurança física se atacantes obtiverem controle sobre aparelhos domésticos críticos.
Os fabricantes foram notificados dessas descobertas e espera-se que liberem patches de segurança. No entanto, o incidente destaca a necessidade de testes de segurança mais rigorosos nos processos de certificação e maior transparência sobre as implementações de segurança em dispositivos de casa inteligente.
Recomenda-se a consumidores e equipes de segurança empresarial implementar segmentação de rede adicional, monitorar comunicações de dispositivos e retardar a compra desses modelos específicos até que as atualizações de segurança sejam confirmadas. A comunidade de cibersegurança exige que auditorias de segurança independentes de terceiras partes tornem-se obrigatórias para todas as certificações de casa inteligente.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.