A Nexx é uma marca de gadgets bem conhecida que opera nos EUA, vendendo abridores inteligentes de portas de garagem, sistemas de alarme e plugues inteligentes. Os abridores de portas de garagem simplesmente funcionam com o hardware existente, permitindo a operação via Wi-Fi. Infelizmente, o pesquisador de segurança Sam Sabetan informou recentemente a Motherboard sobre várias vulnerabilidades nos sistemas Nexx que podem permitir que hackers abram portas de garagem remotamente em todo o mundo.
O pesquisador mostra que abrir a porta da garagem com o aplicativo Nexx Home é bastante fácil, mas quase qualquer pessoa pode capturar o fluxo de dados entre o dispositivo Nexx e os servidores da empresa. Esses dados são enviados usando um fluxo MQTT (Message Queue Telemetry Transport), comumente usado em dispositivos domésticos inteligentes. A ferramenta do pesquisador capta esses dados durante o uso do aplicativo para fechar a porta da garagem, mas ao invés de receber informações do próprio aparelho, o Sabetan também recebe mensagens de outros 558 aparelhos da Nexx.
Os dados adicionais incluem IDs de dispositivos, endereços de e-mail e nomes. Você pode ver onde isso está indo, porque qualquer malfeitor pode facilmente usar nomes e IDs de e-mail para identificar alguém e sua residência e, em seguida, usar o hack da porta da garagem para entrar em sua casa. A capacidade de acionamento remoto deste hack é um perigo adicional, porque você nunca saberá por que a porta da sua garagem continua abrindo e fechando de forma autônoma. Animais de estimação deixados em garagens vazias também podem ser soltos se hackers abrirem a porta. Sabetan também resumiu suas descobertas em um vídeo não listado do YouTube, enviado como prova de conceito para a Nexx.
Como se trata de uma vulnerabilidade ativa, Sabetan não se aprofundou em mais detalhes, mas a maior preocupação aqui é a indiferença da marca afetada. O pesquisador de segurança compartilhou suas descobertas com a Nexx em janeiro e até escalou o assunto para o fundador da Nexx, mas a empresa não respondeu à comunicação de Sabetan. No entanto, a equipe de suporte confirmou sua existência quando Sabetan os contatou como um usuário médio do Nexx, provando a ignorância intencional da empresa sobre um grave risco de segurança.
Para mitigar o risco ativo para os consumidores, a Sabetan trabalhou com a Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna (DHS-CISA) para atribuir cinco CVEs (tags identificadoras) às vulnerabilidades ativas. A Nexx também ignorou as tentativas independentes da CISA e da Motherboard de obter uma resposta. Como resultado, a CISA emitiu um comunicado público, mas as brechas ainda estão abertas.
Se você tiver hardware doméstico inteligente Nexx, sugerimos enfaticamente que você desconecte o dispositivo do controle remoto da porta da garagem para evitar possíveis incidentes de segurança. Se você não pode viver sem um, considere ler nossos abridores de porta de garagem inteligentes favoritos.
[ad_2]
