Uma vulnerabilidade num sistema de controlo de acesso inteligente utilizado em milhares de casas de aluguer nos EUA permite que qualquer pessoa controle remotamente qualquer fechadura numa casa afetada. Mas a Chirp Systems, empresa que fabrica o sistema, ignorou os pedidos para corrigir a falha.
A agência de segurança cibernética dos EUA, CISA, foi público com um aviso de segurança na semana passada dizendo que os aplicativos de telefone desenvolvidos pelo Chirp, que os residentes usam no lugar de uma chave para acessar suas casas, “armazenam indevidamente” credenciais codificadas que podem ser usadas para controlar remotamente qualquer bloqueio inteligente compatível com Chirp.
Os aplicativos que dependem de senhas armazenadas em seu código-fonte, conhecidas como credenciais codificadas, são um risco à segurança porque qualquer pessoa pode extrair e usar essas credenciais para executar ações que personifiquem o aplicativo. Nesse caso, as credenciais permitiam que qualquer pessoa bloqueasse ou desbloqueasse remotamente uma fechadura conectada ao Chirp pela Internet.
Em seu comunicado, a CISA disse que a exploração bem-sucedida da falha “poderia permitir que um invasor assumisse o controle e obtivesse acesso físico irrestrito” a fechaduras inteligentes conectadas a um sistema doméstico inteligente Chirp. A agência de segurança cibernética atribuiu à vulnerabilidade uma pontuação de gravidade de 9,1 de um máximo de 10 pela sua “baixa complexidade de ataque” e pela sua capacidade de ser explorada remotamente.
A agência de segurança cibernética disse que a Chirp Systems não respondeu nem à CISA nem ao pesquisador que encontrou a vulnerabilidade.
O pesquisador de segurança Matt Brown disse veterano jornalista de segurança Brian Krebs que ele notificou o Chirp sobre o problema de segurança em março de 2021, mas que a vulnerabilidade permanece sem correção.
A Chirp Systems faz parte de um número crescente de empresas no setor de tecnologia imobiliária que fornece controles de acesso sem chave que se integram a tecnologias de casa inteligente para gigantes do aluguel. As locadoras estão cada vez mais forçando os locatários a permitir a instalação de equipamentos domésticos inteligentes conforme determinado por seus contratos de locação, mas é obscuro, na melhor das hipóteses, quem assume a responsabilidade ou a propriedade quando surgem problemas de segurança.
A gigante imobiliária e de aluguel Camden Property Trust assinou um acordo em 2020 para lançar fechaduras inteligentes conectadas ao Chirp para mais de 50.000 unidades em mais de cem propriedades. Não está claro se as propriedades afetadas como Camden estão cientes da vulnerabilidade ou tomaram medidas. Kim Callahan, porta-voz de Camden, não respondeu a um pedido de comentário.
A Chirp foi comprada pela gigante de software de gerenciamento de propriedades RealPage em 2020, e a RealPage foi adquirida pela gigante de private equity Thoma Bravo mais tarde naquele ano, em um acordo de US$ 10,2 bilhões. RealPage está enfrentando vários desafios legais apesar das alegações, seu software de definição de aluguel usa algoritmos secretos e proprietários para ajudar os proprietários a aumentar os aluguéis mais altos possíveis para os inquilinos.
Nem a RealPage nem a Thoma Bravo ainda reconheceram as vulnerabilidades no software que adquiriram, nem informaram se planejam notificar os residentes afetados sobre o risco à segurança.
Jennifer Bowcock, porta-voz da RealPage, não respondeu aos pedidos de comentários do TechCrunch. Megan Frank, porta-voz de Thoma Bravo, também não respondeu aos pedidos de comentários.
Link do Autor
