){kind=link}
Milhares de dispositivos para automação residencial da Sonoff estão expostos para ataques na internet. Publicado pelo pesquisador de segurança Clandestine (@akaclandestine), o alerta é direcionado aos interruptores Wi-Fi da linha ‘Basic’, modificados com o firmware Tasmota. O TecMundo entrou em contato com a empresa e aguarda uma resposta.
Os modelos em questão são interruptores inteligentes com Wi-Fi, e servem para automatizar lâmpadas e eletrodomésticos, sendo compatíveis com assistentes de voz como Alexa e Google Home. Na prática, uma vez que esses dispositivos são instalados e configurados, eles permitem controlar TVs e luzes por um aplicativo ou comandos de voz.
smart_display
Nossos vídeos em destaque
Para isso, eles precisam se conectar a uma rede Wi-Fi e à plataforma proprietária eWeLink, que depende de servidores externos. Justamente por esse motivo, alguns usuários mais avançados optam por ‘desbloquear’ esses dispositivos com um sistema personalizado, o Tasmota. Além de buscar maior privacidade, ao menos na teoria, os interessados no processo pretendem adicionar mais recursos e funcionalidades.
Com a substituição do firmware de fábrica, por exemplo, os usuários conseguem controlar o Sonoff Basic em uma rede local (LAN), habilitando também uma série de outros recursos anteriormente indisponíveis. Esse processo torna os interruptores ‘livres’ do sistema original, além de possibilitar que sejam usados sem conexão à internet. Em troca, o processo de modificação das unidades é um tanto técnico, viola sua garantia contra danos, e pode até mesmo inutilizá-las.
Como os interruptores Sonoff Basic modificados ficam expostos na internet?
Para entender o risco na modificação dos interruptores Sonoff Basic, é importante entender como funcionam os sistemas domésticos de rede. Além de esclarecer esse contexto, o exemplo abaixo ilustra como uma simples má configuração de roteador pode expor usuários a ataques de criminosos. Pela variedade de causas que podem criar o problema, o texto abordará a possibilidade mais comum.
Simplificando, o trecho abaixo fala sobre como usuários interessados na modificação Tasmota frequentemente desconsideram as comodidades e segurança do sistema original. Ao ajustar configurações do roteador sem conhecimento técnico, eles acabam expondo a área de configuração dos interruptores na internet, permitindo que qualquer pessoa acesse a sua rede local e controle os dispositivos remotamente
Conversas entre dispositivos, roteadores e a internet
Tipicamente, os dispositivos com acesso à internet em uma residência são conectados a um roteador ou modem. Esses aparelhos são responsáveis por organizar as trocas de informações entre eles mesmos, e todos os eletrônicos que compartilham a mesma conexão. Para isso, basta que eles estejam conectados ao roteador, seja por Wi-Fi ou um cabo.
O gerenciamento feito pelo roteador é organizado com dois endereços: IP e MAC. Resumindo a grosso modo, o primeiro é geralmente temporário e distribuído automaticamente, o segundo é fixado de fábrica para cada dispositivo.
Toda essa organização funciona perfeitamente sem uma conexão à internet ‘externa’, já que o roteador provê uma ‘micro-rede’ local. Enquanto nela, os dispositivos conectados podem interagir entre si, enviando arquivos e mensagens mesmo ‘offline’ da rede mundial de computadores. Esse formato de rede é bastante comum em sistemas com Internet das Coisas e automação residencial.
No entanto, tipicamente, os roteadores são utilizados e pré-configurados pelas provedoras para também se conectar à internet. Neste caso, enquanto todos os dispositivos possuem endereços de IP ‘locais’ e distintos enquanto na mesma rede, eles passam a ser representados por um único endereço de IP ao se conectar com a rede externa – o endereço do roteador.
- Exemplo: 192.0.1.10 é sempre um endereço local de IP, enquanto 174.169.76.41 poderia representar um roteador.
Por sua vez, essa conexão com a rede externa, a internet comum, é feita por meio de diversas portas – como a ‘80’ ou ‘3000’. Ao interagir com essas portas, o endereço de IP do roteador se expõe para receber e enviar informações.
Uma porta se abre e uma janela também
Similarmente, como exigem conexão à mesma rede Wi-Fi para funcionar, os interruptores Sonoff Basic ‘conversam’ entre si e criam portas adequadas para que o usuário tenha acesso remoto aos recursos. É nessa parte que o sistema eWeLink faz o intermédio seguro e privado para a solicitação, passando pelos servidores da empresa. A porta criada é privada, e não pode ser acessada sem autorização.
Porém, quando o usuário altera o sistema para o Tasmota, não há mais suporte para os servidores da Sonoff e eWeLink. Assim, a rede criada para o gerenciamento dos dispositivos só pode ser acessada localmente.
Como alternativa, é possível modificar configurações dos roteadores, para que eles ‘abram portas’ sob demanda quando uma aplicação pede – uma função chamada UPnP. Assim, um usuário poderia acessar a rede local dos interruptores mesmo à distância, sem depender dos servidores da Sonoff.
Contudo, esse processo faz com que o sistema local de gerenciamento do Tasmota, que nunca deveria se conectar à internet sem segurança, fique exposto como um site qualquer. A partir daí, todos os interruptores e dispositivos conectados a eles tornam-se vulneráveis a ataques remotos.
Vale destacar que, embora o exemplo acima seja um dos causadores do problema, há muitas outras possibilidades para o mesmo fim. Sem conhecimento técnico adequado, a má configuração de uma rede pode expor até mesmo dispositivos não modificados a ameaças.
Quantos interruptores Sonoff modificados estão expostos na internet?
Segundo o levantamento de Clandestine, há ao menos 7 mil interruptores Sonoff Basic expostos apenas no buscador FOFA, com cerca de 200 ocorrências no Brasil. Contudo, o número ainda pode ser muito maior, já que esses resultados são limitados a apenas um sistema de buscas.
Mesmo longe dos buscadores especializados, ainda vale o alerta: configurações inadequadas de rede também podem expor a segurança dos usuários a ataques locais. O problema é especialmente válido ao considerar ambientes além do residencial, como comércios, restaurantes e consultórios médicos.
Como proteger seus dispositivos de exposição na internet?
Mesmo que não use dispositivos modificados, ainda vale conferir algumas dicas de boas práticas para evitar sua exposição indevida na internet. Confira algumas, logo abaixo:
- Não faça port forwarding da interface do Tasmota ou outros dispositivos (portas 80, 3000, 8080 etc.) no roteador, a interface web deve permanecer acessível apenas na rede local (LAN);
- Desative o UPnP no roteador, evitando que dispositivos ou aplicações abram portas automaticamente sem o seu conhecimento;
- Nunca configure o dispositivo como DMZ e evite regras amplas de WAN para LAN; mantenha o firewall do roteador ativo e restritivo;
- Use VPN para acesso remoto, como WireGuard ou OpenVPN, em vez de expor diretamente o painel do Tasmota à internet;
- Ative autenticação e mantenha o firmware atualizado, reduzindo risco de exploração caso haja alguma exposição indevida.
Você usa algum dispositivo modificado ou possui uma rede personalizada? Nos conte abaixo ou nas redes sociais do TecMundo!