Pesquisadores de segurança da Pen Test Partners descobriram que mais de 100 milhões de dispositivos IoT (internet das coisas) estão vulneráveis por conta de uma falha de downgrade, que permitem que invasores obtenham acesso não autorizado aos dispositivos.
Conforme relata o The Hack News, o problema está no protocolo Z-Wave, uma tecnologia de comunicação sem fio baseada em radifrequencia, que é usado por dispositivos conectados para se comunicarem entre si.
Em 2013, a Z-Wave usava um padrão de segurança de troca de chaves, chamada S0, para realizar o processo de pareamento. No entanto, como esse padrão não era seguro o suficiente, a Silicon Labs, empresa proprietária da Z-Wave, tornou obrigatório que os dispositivos certificados de IoT usassem o mais recente padrão de segurança S2.
Agora, os pesquisadores descobriram que os dispositivos que suportam as duas versões dos mecanismos de compartilhamento de chaves podem ser forçados a fazer o downgrade do processo de pareamento de S2 para S0. O ataque permite que um invasor intercepte o processo de emparelhamento e consiga o acesso à uma de rede para controlar o dispositivo remotamente.
A falha já tinha sido descoberta pela empresa de consultoria em segurança cibernética SensePost em 2013, mas, na época, a Silicon Labs não a considerava uma ameaça séria porque se limitava ao cronograma do processo de emparelhamento.
Agora, a empresa afirma que está confiante que seus dispositivos inteligentes são seguros e não estão vulneráveis ââa tais ameaças. “O S2 é o melhor padrão para segurança na casa inteligente hoje, sem vulnerabilidades conhecidas, e obrigatório para todos os novos produtos Z-Wave enviados para certificação após 2 de abril de 2017”.