Pesquisadores de segurança da empresa Pen Test Partners encontraram uma falha nas geladeiras inteligentes da Samsung que permite que invasores interceptem o nome de usuário e a senha do Gmail do dono do eletrodoméstico.
A vulnerabilidade está na verificação de certificados de segurança da geladeira e afeta o calendário do Google que fica no refrigerador, mostrando os principais compromissos do dia. Apesar de possuir o protocolo SSL, a falha permite o roubo de informações por meio de um tipo de ataque chamado Man-in-the-Middle. Nele, o criminoso se passa por uma fonte segura para enganar o dispositivo.
"A geladeira funciona da mesma maneira que qualquer dispositivo que executa o calendário do Gmail. O usuário faz o atualizações e as mudanças são percebidas em qualquer dispositivo conectado à conta. Ao acessar a rede Wi-Fi da casa e interceptar o fluxo da geladeira inteligente, os hackers conseguem roubar os dados do proprietário da casa, forçando o dispositivo a divulgar as informações", afirma Ken Munro, um dos responsáveis pela descoberta.
Procurada, a Samsung declarou que está investigando a questão o mais rápido possível.
A vulnerabilidade está na verificação de certificados de segurança da geladeira e afeta o calendário do Google que fica no refrigerador, mostrando os principais compromissos do dia. Apesar de possuir o protocolo SSL, a falha permite o roubo de informações por meio de um tipo de ataque chamado Man-in-the-Middle. Nele, o criminoso se passa por uma fonte segura para enganar o dispositivo.
"A geladeira funciona da mesma maneira que qualquer dispositivo que executa o calendário do Gmail. O usuário faz o atualizações e as mudanças são percebidas em qualquer dispositivo conectado à conta. Ao acessar a rede Wi-Fi da casa e interceptar o fluxo da geladeira inteligente, os hackers conseguem roubar os dados do proprietário da casa, forçando o dispositivo a divulgar as informações", afirma Ken Munro, um dos responsáveis pela descoberta.
Procurada, a Samsung declarou que está investigando a questão o mais rápido possível.
Via TheRegister
