Pesquisadores de segurança encontraram uma série de vulnerabilidades em códigos usados por centenas de milhões de dispositivos conectados. O pacote de erros, apelidado de Ripple20 pelos analistas da JSOF, é um bom exemplo dos desafios de segurança enfrentados pela internet das coisas.

Os bugs foram encontrados em códigos vendidos por uma empresa chamada Treck, especializada em software para dispositivos de internet das coisas. Entre clientes, empresas como Intel, HP, Rockwell Automation, Caterpillar e diversas outras usam esses códigos potencialmente vulneráveis em seus aparelhos. Os pesquisadores da JSOF estimam que centenas de milhões de aparelhos podem carregar as falhas.

As fabricantes afetadas foram alertadas pela JSOF em fevereiro, e já soltaram correções para seus produtos. Mas o perigo continua.

Dispositivos de internet das coisas não incluem apenas caixas de som e lâmpadas inteligentes, mas também sistemas usados em fábricas, usinas e na infraestrutura das cidades.

Muitas vezes, esses dispositivos fazem parte de serviços essenciais que não podem ser interrompidos com frequência, passando meses sem período de manutenção. Até a atualização chegar a todos esses aparelhos, pode demorar meses ou até anos.

Os métodos de implementação do ataque são bastante incomuns, e não há indícios de que a falha tenha sido explorada por hackers.

Ainda assim, o caso é um bom exemplo do grande desafio de segurança que a popularização de dispositivos conectados representa para indústria. É preciso ter mais rigor na caça a erros, já que falhas pequenas podem representar riscos imensos em sistemas essenciais para o funcionamento de hospitais, fábricas e cidades inteiras.

Via: Wired