Dispositivos Inteligentes

O primeiro dia do Pwn2Own Ireland 2025 foi marcado por um sucesso notável, com pesquisadores de segurança demonstrando 34 vulnerabilidades zero-day em dispositivos de consumo, totalizando ganhos de $522.500. A competição, que visa identificar falhas de segurança em produtos reais, teve uma taxa de sucesso de 100%, sem tentativas falhas. As equipes focaram em dispositivos como impressoras, dispositivos de casa inteligente e sistemas de armazenamento conectados à rede. A equipe DDOS se destacou ao explorar oito vulnerabilidades em um roteador e um dispositivo de armazenamento QNAP, arrecadando $100.000. Outras equipes também conseguiram explorar dispositivos populares, como o Philips Hue Bridge e impressoras da Canon e HP. As metodologias de ataque incluíram estouros de buffer, injeções de comando e bypass de autenticação. Com mais dois dias de competição pela frente, espera-se que o total de prêmios aumente significativamente. As vulnerabilidades descobertas serão divulgadas de forma responsável aos fabricantes para correção, melhorando a segurança de milhões de usuários de dispositivos de consumo em todo o mundo.

Uma vulnerabilidade crítica foi identificada no componente do servidor web ESPHome na plataforma ESP-IDF, permitindo que hackers acessem dispositivos de casa inteligente sem credenciais válidas. O problema decorre do manuseio inadequado do cabeçalho de autenticação HTTP Basic, que anula efetivamente a autenticação nos dispositivos afetados. A falha permite que qualquer prefixo da string de credenciais correta, incluindo uma string vazia, passe na verificação de autenticação. Isso significa que um invasor pode obter acesso completo à interface do servidor web, incluindo a funcionalidade de atualização Over-the-Air (OTA), sem necessidade de conhecimento de usuário ou senha. As implicações de segurança são graves, pois permitem o controle não autenticado de dispositivos como luzes e fechaduras, além da possibilidade de injeção de firmware malicioso. A vulnerabilidade foi corrigida nas versões ESPHome 2025.8.1 e posteriores. Enquanto os dispositivos não forem atualizados, recomenda-se desativar o componente web_server e implementar controles de rede para restringir o acesso. Fabricantes devem incentivar os usuários a aplicar as atualizações imediatamente, uma vez que manter o software atualizado é crucial para a segurança dos ambientes conectados.