CISA Adverte: Vulnerabilidade grave em fechaduras inteligentes

A segurança cibernética tornou-se uma preocupação crescente à medida que a tecnologia avança, especialmente quando se trata de dispositivos inteligentes que controlam o acesso a nossas casas. Recentemente, uma falha de segurança significativa foi descoberta no aplicativo da Chirp Systems, uma empresa que fabrica sistemas de controle de acesso inteligente amplamente utilizados em propriedades de aluguel nos Estados Unidos.

A vulnerabilidade permite que qualquer pessoa, com conhecimento suficiente, controle remotamente as fechaduras inteligentes em qualquer residência afetada. O que é particularmente alarmante é que a Chirp Systems aparentemente ignorou os pedidos para corrigir essa falha crítica.

A CISA (Cybersecurity and Infrastructure Security Agency) dos EUA emitiu um comunicado de segurança alertando que os aplicativos móveis da Chirp armazenam de forma imprópria credenciais codificadas. Essas credenciais, se comprometidas, poderiam ser usadas para controlar qualquer fechadura inteligente compatível com o sistema da Chirp à distância.

A exploração dessa falha poderia permitir que um invasor obtivesse “acesso físico irrestrito” às residências, uma perspectiva assustadora, considerando que a vulnerabilidade recebeu uma pontuação de gravidade de 9,1 em 10 devido à sua facilidade de exploração.

O pesquisador de segurança Matt Brown e o jornalista Brian Krebs trouxeram a questão à luz, mas, apesar de notificar a Chirp sobre o problema de segurança em março de 2021, a falha permanece sem correção.

A situação é complicada pelo fato de que muitos locatários são obrigados a aceitar a instalação desses dispositivos inteligentes como parte de seus contratos de locação. A responsabilidade pela segurança desses dispositivos é muitas vezes nebulosa, deixando os inquilinos em uma posição vulnerável.

A Camden Property Trust, uma grande empresa imobiliária e de locação, implementou fechaduras inteligentes conectadas ao Chirp em mais de 50.000 unidades. No entanto, não está claro se estão cientes da vulnerabilidade ou se medidas foram tomadas para proteger os residentes.

A aquisição da Chirp pela RealPage e subsequente compra da RealPage pela Thoma Bravo adiciona outra camada de complexidade, especialmente considerando os desafios legais enfrentados pela RealPage relacionados a alegações de manipulação de aluguéis.

A falta de reconhecimento das vulnerabilidades por parte da RealPage e da Thoma Bravo, bem como a ausência de comunicação sobre os riscos de segurança para os residentes afetados, levanta questões sobre a responsabilidade corporativa e a proteção do consumidor.

Este incidente destaca a necessidade crítica de segurança robusta em tecnologias de casa inteligente e a importância de uma resposta rápida e transparente quando surgem problemas de segurança. À medida que avançamos para um futuro cada vez mais conectado, a proteção da privacidade e da segurança dos indivíduos deve ser uma prioridade máxima para empresas e reguladores.