Termostatos inteligentes da Bosch vulneráveis!

Termostato Bosch BCC100 © Bosch

Pesquisadores do Bitdefender anunciaram que descobriram uma vulnerabilidade que permite a um hacker substituir o software de um termostato conectado à Bosch por uma versão maliciosa, que pode causar danos.

Em 2024, os smartphones proporcionarão um meio acessível para conservar as finanças e o meio ambiente. Embora os seus benefícios ecológicos e económicos sejam inegáveis, é importante reconhecer que estes dispositivos permanecem suscetíveis a ameaças cibernéticas. Além disso, um especialista em segurança da Bitdefender descobriu uma falha grave no microcontrolador Wi-Fi de um termostato da Bosch, destacando os riscos potenciais associados aos eletrodomésticos conectados.

Hackers podem enviar comandos maliciosos ao termostato da Bosch

A falha de segurança foi descoberta no termostato Bosch BCC100, afetando especificamente seu microcontrolador Wi-Fi, que serve como ponte para o sistema de controle lógico do aparelho-funcionando essencialmente como unidade central de processamento do termostato. Através do emprego desta fraqueza, um ator malévolo pode transmitir instruções ao dispositivo, abrangendo atualizações prejudiciais que posteriormente lhes concederiam entrada não aprovada na infraestrutura de rede do usuário.

Para explorar esta vulnerabilidade, um invasor deve formatar sua mensagem de uma forma que imite o padrão de comunicação legítimo entre o termostato e o servidor em nuvem. Quando o microcontrolador recebe tal mensagem, ele erroneamente acredita que ela se origina de uma fonte confiável e executa quaisquer comandos subsequentes incluídos na carga útil da mensagem fabricada.

O conglomerado multinacional alemão de engenharia Bosch recebeu uma notificação da empresa de segurança cibernética Bitdefender sobre uma vulnerabilidade de segurança em 29 de agosto de 2023. No entanto, demorou até 4 de outubro para que a Bosch verificasse o problema, seguido por um anúncio de que um patch havia sido lançado. em seu ambiente de produção em 11 de novembro. A Bitdefender optou por divulgar publicamente os detalhes do incidente em 11 de janeiro de 2024 – aproximadamente quatro meses e meio após a descoberta da vulnerabilidade.

O termostato possui dois microcontroladores que funcionam juntos, conforme imagem abaixo. O da direita, em amarelo, é um chip Hi-Flying, HF-LPT230, que implementa funcionalidade Wi-Fi. Ele atua como um gateway de rede para o microcontrolador lógico. O chip STMicroelectronics, STM32F103, em vermelho, é o cérebro do dispositivo e implementa a lógica principal. ©Bitdefender

A Bosch implantou uma correção, mas é necessário cautela

À luz da resposta da Bosch na implementação de uma atualização de segurança, a Bitdefender sublinha a importância de manter o termóstato atualizado com a versão de software mais recente. Além disso, chama a atenção para a necessidade de manter uma maior sensibilização para o cenário de ameaças que rodeia os dispositivos IoT de forma mais ampla, dada a crescente incidência de ataques cibernéticos a tais sistemas.

A Bitdefender lembra-nos, e o especialista cibernético tem razão em fazê-lo, que os cibercriminosos estão a explorar ativamente vulnerabilidades em dispositivos IoT, utilizando ferramentas de verificação automatizadas para identificar alvos fáceis. É crucial que as empresas e os utilizadores individuais protejam as suas redes IoT, limitando o acesso e configurando redes separadas.

As recomendações incluem separar redes internas, IoT e de convidados, com isolamento entre elas. Ao usar dispositivos POS, é recomendável conectá-los por meio de uma rede 4G/5G ou de uma rede Wi-Fi ou com fio dedicada para aumentar a segurança contra possíveis ameaças.

*️⃣ Link da fonte: