Os wearables estão em franca expansão junto dos consumidores, mas Luís Grangeia não está muito convencido devido à exposição que estes gadgets podem fazer dos dados privados do utilizador. Muito menos após a descoberta que fez. Na prática o especialista em segurança informática hackou o relógio TomTom Runner e as possibilidades são muitas: para o bem e para o mal.

Em conversa com o TeK, o também partner da empresa SysValue explica que o objetivo não é denegrir a imagem de segurança do dispositivo ou da empresa. Pois como admite, o hack até lhe exigiu um grande esforço, sinal de que a segurança do equipamento é boa. Mas a verdade é que a falha encontrada permite explorar várias possibilidades.

“O firmware do relógio vem cifrado para proteger contra tentativas de cópia. Não há maneira de ler ou decifrar o software que vem no relógio. E o que é que fiz? Basicamente estive a analisar como é que o relógio comunicava com o computador”, conta.

Foi aqui que descobriu o ficheiro de linguagem do sistema operativo, que não vem cifrado, como conta no seu blogue pessoal. Percebeu que se alterasse o ficheiro por forma a ficar corrompido, o relógio reiniciava e gerava um relatório de erro. E através deste relatório conseguiu manipular a execução do relógio para ‘cuspir’ não a informação do crash como faz de origem, mas partes do programa que no interior do relógio não estão cifradas.

Se do ponto de vista 'positivo' é possível transformar por completo o firmware do relógio para que fique mais parecido com um relógio inteligente de notificações ao estilo Pebble, por outro lado elaborou cerca de seis casos em que o utilizador final podia ser prejudicado.

São cenários remotos, admite, mas não deixam de poder ser explorados, também admite. “Há algum impacto do ponto de vista dos utilizadores finais, mas é muito pouco. Já fiz alguns cenários de modelação de ameaças - como podia usar isto em prejuízo de alguém e em benefício próprio. O trabalho que fiz torna possível a alguém, que tenha acesso físico e temporário ao relógio, instalar uma backdoor. Mas é um dispositivo muito pessoal que pode estar a correr software modificado e é praticamente impossível a vítima ter consciência disso", salienta o investigador.

Luís Grangeia traçou depois um exemplo. “Conseguia instalar a backdoor no relógio de alguém e essa backdoor ia registando os sítios por onde a pessoa passava. E depois por tecnologia Bluetooth, se eu estivesse perto da pessoa, conseguia descarregar todos os locais onde esteve nos últimos dias”.

Mas há mais falhas por parte da empresa que construiu o relógio. A TomTom também tem um problema na forma como distribui o firmware na Internet. “Eles não usam SSL [no site de download]. E ao não usarem este protocolo de segurança, se um atacante tiver a informação que eu já tenho e tiver numa posição de rede privilegiada para um ataque de interceção de tráfego, esse atacante pode fazer com que a vítima instale uma backdoor sem ter necessidade de aceder fisicamente ao relógio”, detalha o investigador.

O elemento da SysValue já contactou a TomTom, a empresa já respondeu e “agradeceu bastante”. Luís explica que não publicou as chaves da cifra nem tenciona fazê-lo pois é um trabalho de pesquisa e "é interessante no sentido de fornecer novas metodologias para análises de segurança a nível destes sistemas".

Cuidado com a IoT
Um dos aspetos que atraiu Luís Grangeia nesta viagem de exploração do relógio é o facto de pertencer à categoria Internet das Coisas (IoT na sigla em inglês). Vai ser o IoT o próximo grande mercado da cibersegurança e do cibercrime? "Sinto que os atacantes ficam normalmente na área que é economicamente mais rentável para eles. E neste momento isso passa pelo phishing bancário. Não estou a ver vias de enriquecimento ilícito por meio da Internet das Coisas".

Mas também vai dizendo: "A Internet das Coisas está a potenciar um upload em massa da nossa vida pessoal. O potencial é assustador. Cada vez mais é possível fazer coisas que víamos há dez anos nos filmes e achávamos rídiculas. Como é que um tipo pode parar um carro na estrada só com uma ligação à Internet?". Bem, a resposta pode ser vista aqui.

Para Luís o mais importante é que a comunidade de segurança informática comece a prestar atenção a este segmento, mas não só. "É bom que saibamos o que estamos a fazer e que o fazemos em segurança", sentenciou.

Rui da Rocha Ferreira