Em outubro deste ano circulou o mundo a notícia de que aspiradores-robô da marca chinesa Ecovacs Deebot X2 foram hackeados em diversas cidades americanas. Tecnologia de acesso remoto a objetos pela internet se tornou bastante popular, mas há dúvidas sobre a segurança desses aparelhos
Getty Images via BBC
Um conhecido episódio da série de humor americana The Big Bang Theory, que foi ao ar em 2008, mostra um grupo de jovens cientistas em Pasadena, na Califórnia, realizando uma experiência em que conseguem acender a luz de um abajur e tocar música por comandos via internet, um tipo de tecnologia atípico para a época.
Para Penny, a personagem que é vizinha do grupo, tudo parecia estranho e aparentemente inútil, mas, para eles, o simples fato de poder controlar um aparelho de qualquer lugar já era motivo de empolgação.
De 2008 pra cá esse tipo de tecnologia de acesso remoto a objetos pela internet se tornou bastante popular, seja por meio dos robôs aspiradores, aparelhos que controlam a iluminação e temperatura, câmeras que capturam todos os ângulos de um cômodo, impressoras e diversos outros aparelhos do tipo.
Mas será que esses equipamentos são seguros?
Em outubro circulou o mundo a notícia de aspiradores-robô da marca chinesa Ecovacs Deebot X2 foram hackeados em diversas cidades americanas. Os invasores conseguiam controlar os equipamentos, visualizar a casa das vítimas com a câmera dos robôs e até xingar os seus donos.
Uma equipe do serviço de mídia australiano ABC fez um experimento em que conseguiu reproduzir a invasão ao dispositivo com ajuda de um especialista em segurança digital.
“A maior empresa de robótica doméstica do mundo não conseguiu corrigir problemas de segurança com seus aspiradores de pó robóticos, apesar de ter sido alertada sobre eles no ano passado”, escreveu o veículo jornalístico.
A reportagem diz que a empresa chegou a atualizar alguns modelos para prevenir o ataque, mas que diversos modelos ainda estavam vulneráveis.
Quase 6 milhões de lares brasileiros não têm acesso à internet, revela IBGE
Em abril o Reino Unido aprovou uma legislação que criou regras mais rígidas para a venda de dispositivos smart
Getty Images via BBC
Legislação mais rígida
Há uma preocupação crescente de que ataques virtuais como esse dos aspiradores possam se popularizar, principalmente porque esses equipamentos são mais vulneráveis a ataques digitais e podem permitir que invasores consigam dados pessoais das vítimas.
“Esses dispositivos são muitas vezes fabricados com recursos mais baixos em termos de hardware, como processamento e memória, para fins de barateamento de custos de produção. Então é comum que não tenham um sistema criptográfico, ou que não seja eficiente, e não haja espaço para instalar sistemas de antivírus, por exemplo. São geralmente construídos de forma insegura”, diz Yanis Stoyannis, líder do comitê de segurança da Associação Brasileira de Internet das Coisas (ABINC).
Em abril de 2024 o Reino Unido aprovou uma legislação que criou regras mais rígidas para a venda de dispositivos “smart”, com o objetivo de dar mais segurança a equipamentos como monitores de bebês, televisões e alto-falantes ligados à internet.
Dentre as novas medidas estão exigências como a de garantir que o usuário tenha de inserir uma senha que não seja simples demais (como “12345” ou “admin”), que haja formas fáceis de reportar bugs ou problemas de segurança e que vendedores informam por quanto tempo os clientes receberão suporte, incluindo atualização de software do equipamento que estão comprando.
O governo disse que a lei é pioneira e que protegerá os consumidores e empresas do país. Mais da metade das casas no Reino Unido possuem ao menos uma Smart TV e algum tipo de assistente de voz, como a Alexa, da Amazon.
No Brasil, a Autoridade Nacional de Proteção de Dados (ANPD), autarquia federal vinculada ao Ministério da Justiça e Segurança Pública, disse que está previsto, na agenda regulatória do órgão do ano, definir medidas que incluem padrões técnicos mínimos de segurança para proteger dados pessoais de acessos não autorizados.
O órgão foi criado em 2018 e tem como função a fiscalização do cumprimento da Lei Geral de Proteção de Dados (LGPD) no país.
A invasão não autorizada a dispositivo informático é crime previsto no Código Penal e pode resultar em multa e prisão de até quatro anos.
Stoyannis acredita que a discussão sobre regulamentação no setor deve aumentar nos próximos anos, já que ainda há muito potencial de crescimento no uso dessas tecnologias no Brasil.
Dados do IBGE de 2023 divulgados no ano passado mostram que, de 72,5 milhões de domicílios com acesso à internet do país, só 16% tinham algum tipo de dispositivo inteligente que poderia ser acessado pela internet.
Um dos desafios ainda é o custo desses equipamentos ou a qualidade do acesso à internet. “Com o tempo, vai baratear a linha de produção e será cada vez mais comum encontrar dispositivos inteligentes em lares brasileiros, o que aumentará consideravelmente o risco de incidentes cibernéticos.”
RELEMBRE: Apagão cibernético em 2024 atingiu voos, serviços bancários e de saúde ao redor do mundo
‘Porta de entrada para cibercriminosos’
Antoinette Hodes, porta-voz da Check Point, uma empresa israelense de segurança de informação, publicou em 2024 um artigo no site do Fórum Econômico Mundial em que afirma que esse tipo de tecnologia, conhecida como Internet das Coisas (ou Internet of Things, IoT, em inglês), está vulnerável a ataques de cibercriminosos, e que esse tipo de vulnerabilidade pode comprometer a segurança de toda uma rede.
“Com sua natureza interconectada e vulnerabilidades, os dispositivos de IoT são pontos de entrada atraentes para cibercriminosos. Eles são alvos altamente desejáveis, pois muitas vezes representam um único ponto de vulnerabilidade que pode afetar inúmeras vítimas simultaneamente”, diz a autora no texto.
A Check Point publicou um estudo, em abril de 2023, apontando um aumento de 41% nos ataques a esses dispositivos se comparado a 2022. A organização sugere que a rápida transformação digital nas empresas e organizações, impulsionada pela pandemia, aconteceu sem as devidas considerações de segurança digital, criando diversas vulnerabilidades.
A organização identificou que escolas são a vítima favorita desses ataques, por causa da abundância de dados pessoais disponíveis.
“Com os dispositivos de IoT, como câmeras e impressoras, suas vulnerabilidades e outros dispositivos não gerenciados podem permitir o acesso direto e a violação significativa da privacidade, permitindo que os invasores tenham um ponto de apoio inicial nas redes corporativas, antes de se propagarem dentro da rede violada”, diz a pesquisa.
Não há dados específicos sobre quantos casos de aparelhos invadidos aconteceram no Brasil
Getty Images via BBC
Denis Riviello, diretor de segurança da informação da empresa de tecnologia CG One, diz que esses dispositivos eletrônicos mais vulneráveis podem ser a brecha para que um criminoso invada a rede de wi-fi da casa e possa, eventualmente, hackear outros dispositivos, como computadores e celulares.
“Uma vez que a pessoa ganha acesso a uma câmera, por exemplo, vai ficar ali buscando uma brecha para conseguir entrar no computador e ter um ganho financeiro.”
Os eletrodomésticos são, portanto, uma espécie de porta de entrada. “Existem artimanhas para conseguir outros acessos, que chamamos de movimentação lateral. Busca-se um canal inseguro, como dispositivos eletrodomésticos, e aí ganha-se acesso à rede e outros dispositivos conectados.”
Ele elenca como possíveis vulnerabilidades desses equipamentos a falta de atualização constante de software e o uso de senhas padronizadas, que raramente são mudadas pelos usuários.
Não há dados específicos sobre quantos casos de aparelhos invadidos aconteceram no Brasil. Para Riviello, quantificar este problema é complexo, já que dificilmente será feita, caso a caso, uma avaliação sobre a origem da vulnerabilidade que gerou um vazamento de dados.
A ANPD disse à reportagem, em nota, que ainda não recebeu notificações ou denúncias de incidentes de segurança envolvendo dispositivos IoT.
O especialista sugere, como possíveis medidas para evitar invasões, que os aparelhos sejam desligados da internet quando não estiverem sendo usados e que sejam usadas senhas fortes nos equipamentos, quando possível. “Nesse nosso mundo conectado, quanto mais facilidade, mais exposição. O desafio é equalizar isso.”
DeepSeek x ChatGPT x Gemini: veja o que cada IA faz melhor e as principais diferenças entre elas
Atualização constante
A Consumer Reports, organização sem fins lucrativos fundada em 1936 e baseada em Nova York, publicou em setembro de 2024 um estudo com um título provocativo: “When will your smart applaice turn dumb? A lack of transparency leaves consumers in the dark” (“Quando seu aparelho inteligente se tornará estúpido? A falta de transparência deixa os consumidores no escuro”).
A pergunta do “quando” é geralmente esquecida por quem compra esse tipo de equipamento, mas é fundamental. De 21 marcas analisadas pela organização, apenas três diziam aos consumidores até quando atualizariam o software do produto.
Esse tipo de preocupação é maior para produtos que tem expectativa de durar por anos ou até uma década, como refrigeradores ou máquinas de lavar, mas a maioria dos fabricantes não especifica por quanto tempo continuará dando suporte de segurança necessário.
Outra preocupação da organização é com o uso dos dados pessoais coletados nesses equipamentos pelas empresas. Em outro levantamento, publicado em 2023, os pesquisadores identificaram que algumas marcas coletavam o ZIP Code (equivalente ao CEP) dos usuários, números de telefone, data de nascimento, geolocalização e outras informações. Essas informações seriam usadas por alguns fabricantes para criar perfis de usuários e até vender esses dados.
O gerente de projetos da Safernet Brasil, Guilherme Alves, dá dicas de como descobrir se um dispositivo foi invadido: alterações no seu funcionamento, falhas frequentes, execução de comandos por conta próprias ou senhas trocadas indevidamente.
“Antes de imaginar que o dispositivo foi invadido é importante, no entanto, verificar o manual de instruções e buscar soluções simples, como reiniciá-lo. Um aumento repentino no uso do wi-fi da residência, detectado por lentidão ou por ferramentas que monitoram o fluxo de dados, também pode indicar um problema nos dispositivos conectados”, disse Alves.
Identificada uma invasão, a dica é desconectar o dispositivo da internet e da rede wi-fi, trocar as senhas de todos os dispositivos com internet e da rede.
“Faça uma redefinição de fábrica no dispositivo comprometido para apagar qualquer software malicioso. Se possível, entre em contato com o fabricante para obter suporte e orientação e monitore o tráfego da sua rede por alguns dias após a invasão para garantir que não haja mais atividades suspeitas. Importante também verificar se outros dispositivos na sua rede também foram comprometidos. No caso de uma denúncia formal, é importante que o usuário guarde todos os registros que puder, como relatórios de segurança, prints de tela, vídeos e fotos”, diz o especialista.
O fim da ‘salada de cabos’
Marcas confiáveis
A pesquisadora Stacey Higginbotham, da Consumer Reports, disse à BBC News Brasil que os dispositivos mais vulneráveis são os fabricados sem um foco em uma segurança robusta ou que possuem poder de processamento e acesso à rede, como roteadores ou sistemas de vídeo.
“Vemos produtos de marcas genéricas que não priorizam a segurança, pois buscam reduzir custos ao máximo e não têm grande preocupação com danos à marca caso seus produtos sejam invadidos.”
Ela recomenda que os usuários sempre comprem de empresa confiáveis e façam buscas antes.
“Gosto de pesquisar a marca junto com as palavras ‘hackeado’ ou ‘vulnerabilidade de segurança’ para verificar como o fabricante lidou com problemas anteriores. Se a empresa disponibiliza patches e compartilha informações com os usuários, isso é um bom sinal.”
Diz ainda que, caso um equipamento deixe de receber suporte de software da fabricante, este deixe de ser utilizado. “Já vimos diversos ataques contra dispositivos, como roteadores domésticos, que chegaram ao fim de sua vida útil e não recebem mais atualizações.”
Veja dicas de especialistas para se proteger
Não conecte os dispositivos ao WiFi a não ser que você realmente precise usar a conexão com a internet.
Se for possível desligar a conexão depois do uso, desligue.
Use uma conexão wi-fi para esses dispositivos que seja diferente da usada por computadores, smartphones e tablets. Assim é possível evitar que, caso o dispositivo seja hackeado, isto afete a rede como um todo.
Evite deixar qualquer dado bancário salvo, como cartões de crédito ou informações de sua conta.
Quando for comprar o equipamento, tente descobrir até quando a empresa fará a atualização do software. Depois de adquirir o produto, faça as atualizações assim que estiverem disponíveis. Se não houver mais atualizações do software, não use mais o equipamento.
IA chinesa mostra ao usuário como está ‘pensando’ antes de responder