99% das tentativas de exploração de IoT dependem de CVEs previamente conhecidos
A explosão dos dispositivos da Internet das Coisas (IoT) trouxe uma ampla gama de desafios de segurança e privacidade, de acordo com Bitdefender e NETGEAR.
O relatório é baseado em telemetria global de 3,8 milhões de residências e 50 milhões de dispositivos IoT que geraram 9,1 bilhões de eventos de segurança ao longo de 12 meses.
Vulnerabilidades altas encontradas em TVs, plugues inteligentes, DVRs
Com mais de 15 bilhões de dispositivos conectados em todo o mundo, de eletrodomésticos inteligentes a equipamentos industriais, a superfície de ataque se expandiu drasticamente. As vulnerabilidades nas estruturas de IoT, como as encontradas na plataforma ThroughTek Kalay, expõem milhões de usuários a possíveis violações de privacidade.
A casa média agora tem 21 dispositivos conectados com redes domésticas atacadas mais de 10 vezes por dia (a partir das 8 do ano passado).
Em 2023, o maior número de vulnerabilidades foram descobertas em aparelhos de TV, plugues inteligentes e gravadores de vídeo digitais. As vulnerabilidades nas TVs são bastante comuns, em grande parte devido à sua vida útil prolongada e à tendência dos fabricantes de descontinuar o suporte enquanto os dispositivos ainda estão em uso.
As plugues inteligentes e os gravadores de vídeo digitais (DVRs) exibem uma contagem substancial de vulnerabilidades em relação às suas respectivas populações de dispositivos. Embora os plugues inteligentes sirvam como adições convenientes às configurações de casas inteligentes, sua contagem de vulnerabilidades destaca possíveis fraquezas de segurança nesses dispositivos aparentemente inócuos.
Da mesma forma, as vulnerabilidades em DVRs levantam preocupações sobre a segurança dos sistemas de vigilância por vídeo comumente empregados em ambientes residenciais e comerciais. Esses achados enfatizam a necessidade de os fabricantes priorizarem a segurança no design e na produção de tais dispositivos, pois desempenham papéis integrais em ambientes conectados modernos.
Outro estudo da Bitdefender revela que 78,3% dos entrevistados usam dispositivos móveis para transações sensíveis. No entanto, 44,5% não usam nenhuma solução de segurança móvel, deixando-as suscetíveis a malware, phishing e violações de dados.
Segurança da IoT será assinada em lei
Para combater os riscos associados à segurança da IoT (falta de), o governo dos EUA introduziu a Marca de Confiança Cibernética – uma certificação que ajuda os consumidores a identificar dispositivos IoT que atendem a padrões de segurança rigorosos, incluindo credenciais fortes, atualizações regulares e proteção de dados. Essa marca de confiança ajudará os consumidores a escolher produtos de IoT criados com segurança em mente, mas a implementação ainda está muito longe. Até lá, a segurança da IoT continuará sendo uma responsabilidade individual.
Certas indústrias ou categorias de produtos aderem a melhores padrões e práticas de segurança, resultando em menores contagens de vulnerabilidades. Por exemplo, os dispositivos categorizados em “Home Automation” podem ter relativamente menos vulnerabilidades em comparação com outras categorias devido a protocolos de segurança padronizados e certificações no setor de automação residencial.
O número de vulnerabilidades também varia com base nas práticas dos fabricantes de dispositivos. Dispositivos de fabricantes que priorizam a segurança em seus processos de design, desenvolvimento e correção podem exibir menores contagens de vulnerabilidades em comparação com as dos fabricantes menos focadas na segurança.
Em todos os tipos de dispositivos, os ataques de negação de serviço (DoS) parecem ser o tipo mais comum de vulnerabilidade, com porcentagens significativas observadas para aparelhos de TV (36,7%), plugues inteligentes (22,2%), DVRs (17,7%), roteadores (13,4%) e set-top boxes (6,9%). Isso mostra que as vulnerabilidades do DoS são generalizadas em várias categorias de dispositivos e apresentam riscos significativos para sua disponibilidade e funcionalidade.
As vulnerabilidades de corrupção de memória, embora menos prevalentes do que o estouro e a negação de serviço, continuam sendo uma preocupação notável, dado o seu potencial para explorar as fraquezas nos sistemas de gerenciamento de memória e sua contribuição para ataques arbitrários de execução de código. A mitigação de vulnerabilidades de corrupção de memória requer revisão completa de código, validação de entrada e mecanismos de proteção de memória para evitar a exploração.
99% das tentativas de exploração de IoT dependem de CVEs previamente conhecidos (enfatizando a importância de corrigir e executar o software mais recente). Apenas uma fração de ataques aproveita senhas fracas ou autenticação de texto simples.