Investigadores descobriram um total de 125 falhas de segurança. Da análise constava um total de 13 routers e dispositivos de armazenamento ligados em rede, também conhecidos como dispositivos NAS.
A descoberta destas vulnerabilidades é consequência de um estudo realizado por uma empresa chamada Independent Security Evaluators (ISE). A ISE é responsável por um projeto de investigação que demonstra que os controlos de segurança estabelecidos pelos fabricantes de dispositivos IoT são insuficientes para os ataques remotos realizados por hackers.
Os especialistas analisaram dispositivos de uma ampla variedade de modelos de distintos fabricantes, tanto para uso doméstico como empresarial. Em causa estão equipamentos de fabricantes com boa reputação e reconhecidos na indústria, como sejam a: Xiaomi, Lenovo, Netgear, Buffalo, Synology, Zyxel, Drobo, ASUS, entre outros. No link que se segue pode conhecer a lista completa dos modelos de routers e dispositivos NAS avaliados.
Cada um dos 13 dispositivos analisados apresentou pelo menos uma vulnerabilidade de aplicação web, como seja o Cross-Site Scripting (XSS), injeção de comando no sistema operativo ou injeção SQL. Estas vulnerabilidades podem ser aproveitadas por um hacker para obter acesso remoto à shell do dispositivo o,u ao painel de administração. Da mesma forma, outra falha comum presente em vários dispositivos analisados permitia escapar à etapa de autenticação e autorização.
Em 12 dos dispositivos analisados os investigadores conseguiram obter acesso root remotamente, o que lhes permitiu assumir o controlo do dispositivo.
Os investigadores do ISE reportaram cada uma das falhas identificadas aos fabricantes. Na sua maioria, responderam de forma rápida e foram recetivos no que respeita às vulnerabilidades reportadas, assumindo que iriam tomar as medidas necessárias para reparar as mesmas.