Dispositivos de Casa Inteligente em Risco - Falha no Servidor ESPHome
Uma vulnerabilidade crítica foi identificada no componente do servidor web ESPHome na plataforma ESP-IDF, permitindo que hackers acessem dispositivos de casa inteligente sem credenciais válidas. O problema decorre do manuseio inadequado do cabeçalho de autenticação HTTP Basic, que anula efetivamente a autenticação nos dispositivos afetados. A falha permite que qualquer prefixo da string de credenciais correta, incluindo uma string vazia, passe na verificação de autenticação. Isso significa que um invasor pode obter acesso completo à interface do servidor web, incluindo a funcionalidade de atualização Over-the-Air (OTA), sem necessidade de conhecimento de usuário ou senha. As implicações de segurança são graves, pois permitem o controle não autenticado de dispositivos como luzes e fechaduras, além da possibilidade de injeção de firmware malicioso. A vulnerabilidade foi corrigida nas versões ESPHome 2025.8.1 e posteriores. Enquanto os dispositivos não forem atualizados, recomenda-se desativar o componente web_server e implementar controles de rede para restringir o acesso. Fabricantes devem incentivar os usuários a aplicar as atualizações imediatamente, uma vez que manter o software atualizado é crucial para a segurança dos ambientes conectados.