Vulnerabilidades de IoT do consumidor: quando a interconectividade significa riscos compartilhados

• Autor:
• Nome do autor

  Previsão Quantumrun
• 5 de julho de 2023

Destaques do Insight

Embora a indústria da Internet das Coisas (IoT) continue inovando, ela está enfrentando problemas notáveis ​​de segurança cibernética devido ao fato de os consumidores negligenciarem a atualização de senhas de dispositivos padrão e os fabricantes introduzirem recursos não testados. Esses desafios são agravados pela falta de divulgações públicas de vulnerabilidades e pelas empresas que não possuem um plano claro para lidar com elas. Embora haja algum uso de acordos de não divulgação, programas de recompensa de bugs e divulgação coordenada de vulnerabilidades (CVD) como estratégias de gerenciamento de risco, a adoção em todo o setor de políticas de divulgação de vulnerabilidades permanece baixa. 

Contexto de vulnerabilidades de IoT do consumidor

Embora existam vantagens para dispositivos como assistentes domésticos e câmeras de segurança inteligentes, a indústria de IoT ainda tem um longo caminho a percorrer em termos de segurança cibernética. Apesar dos avanços em design e infraestrutura, esses dispositivos permanecem vulneráveis ​​a ataques cibernéticos. Esse problema é ainda agravado pelo fato de que muitos consumidores não conhecem as práticas recomendadas para atualizar os sistemas operacionais de seus dispositivos. De acordo com a IoT Magazine, 15% de todos os proprietários de dispositivos IoT não alteram as senhas padrão, o que significa que os hackers podem acessar 10% de todos os dispositivos relacionados com apenas cinco combinações de nome de usuário e senha.

Outros desafios de segurança estão enraizados em como esses dispositivos são configurados ou mantidos. Se uma máquina ou software for deixado desprotegido - por exemplo, não pode ser corrigido com novas atualizações de segurança ou os usuários finais não podem alterar a senha padrão - pode facilmente expor a rede doméstica de um consumidor a um ataque cibernético. Outro desafio é quando um desenvolvedor fecha as portas e ninguém assume o controle de seu software ou plataforma. 

Os ataques da Internet das Coisas variam, dependendo da máquina ou da infraestrutura. Por exemplo, vulnerabilidades de software ou firmware podem permitir que hackers contornem os sistemas de segurança de veículos elétricos (EVs). Enquanto isso, alguns fabricantes de IoT geralmente adicionam novos recursos a seus dispositivos ou interfaces sem testá-los completamente. Por exemplo, algo aparentemente simples, como um carregador EV, pode ser hackeado para sub ou sobrecarregar, levando a danos físicos.

Impacto disruptivo

De acordo com uma pesquisa de 2020 realizada pela IoT Security Foundation, uma das áreas em que os fabricantes de IoT não estavam fazendo o suficiente era fornecer divulgações públicas de vulnerabilidades. Uma maneira importante de melhorar a segurança dos dispositivos conectados à IoT é facilitar que os pesquisadores relatem as vulnerabilidades encontradas diretamente aos fabricantes. Ao mesmo tempo, as empresas precisam comunicar como responderão assim que essas preocupações forem identificadas e qual prazo pode ser esperado para patches de software ou outras correções.

Para combater ameaças emergentes de segurança cibernética, algumas empresas contam com acordos de confidencialidade. Outros atraem pesquisadores com recompensas por bugs (ou seja, pagando por vulnerabilidades descobertas). Também existem serviços especializados que as empresas podem contratar para gerenciar divulgações e programas de recompensas por bugs. Outra técnica para gerenciar riscos é a divulgação coordenada de vulnerabilidades (CVD), em que o produtor e o pesquisador trabalham juntos para corrigir um problema e, em seguida, liberam a correção e o relatório de vulnerabilidade simultaneamente para reduzir possíveis danos aos usuários. 

Infelizmente, algumas empresas não têm planos para lidar com as divulgações. Embora o número de empresas com políticas de divulgação de vulnerabilidades tenha aumentado para 13.3% em 2019, de 9.7% em 2018, a adoção da indústria permaneceu geralmente baixa (2022). Felizmente, há cada vez mais regulamentos exigindo políticas de divulgação. Em 2020, o governo dos EUA aprovou a Lei de Melhoria da Cibersegurança da Internet das Coisas, exigindo que os provedores de IoT tenham políticas de divulgação vulneráveis ​​antes de vender para agências federais. 

Implicações das vulnerabilidades de IoT do consumidor

Implicações mais amplas das vulnerabilidades de IoT do consumidor podem incluir: 

• Os governos que regulamentam os fabricantes de IoT têm políticas de divulgação e testes rigorosos e transparentes.
• Mais empresas de tecnologia formando associações para concordar com padrões comuns e desenvolver protocolos unificados de segurança cibernética que podem tornar os dispositivos interoperáveis ​​e cada vez mais seguros.
• Smartphones e outros dispositivos de consumo pessoal que implementam autenticação multifatorial avançada e identificação biométrica para aprimorar a segurança cibernética.
• Aumento dos investimentos em segurança cibernética de veículos elétricos e autônomos para evitar o sequestro digital.
• Mais ataques de espionagem, onde criminosos assumem canais de comunicação não criptografados; essa tendência do crime pode resultar em mais consumidores preferindo aplicativos de mensagens criptografadas (EMAs).
• Mais incidentes de ataques de engenharia social que se aproveitam da proteção por senha fraca, especialmente entre usuários de dispositivos mais antigos.

Perguntas para comentar

• Como você garante que seus dispositivos IoT estejam bem protegidos?
• De que outras maneiras os consumidores podem aumentar a segurança de seus dispositivos IoT?