Header Ads

Especialistas encontram falha em sistemas de avisos de emergência

Pesquisadores de segurança da IOActive revelaram uma brecha na configuração padrão de equipamentos responsáveis pela retransmissão de mensagens do Serviço de Alertas de Emergências (Emergency Alert System - EAS, em inglês). Dois fornecedores de equipamentos publicaram um certificado de acesso padrão em um arquivo de atualização para o software usado pelo sistema. Usando esse certificado, um hacker pode obter acesso a qualquer dispositivo que esteja conectado à internet e que não tenha sido configurado para desautorizar o certificado padrão.

O EAS é um sistema usado para permitir que uma mensagem de emergência, sobre acidentes ou desastres naturais, por exemplo, seja rapidamente retransmitida por estações de TV, sem intervenção humana.

Em fevereiro, estações de TV tiveram seus sistemas de alerta invadidos e uma mensagem sobre um ataque zumbi foi veiculada. "Os defuntos estão se levantando dos túmulos e atacando os vivos. (...) Não tente se aproximar ou deter estes corpos", dizia a mensagem.

Com a falha, um invasor poderia obter acesso ao equipamento e injetar outros tipos de mensagens falsas de alertas na transmissão.

Os dois fabricantes dos equipamentos vulneráveis, a Monroe Electronics e a Digital Alert Systems, lançaram uma atualização que desativa o certificado. Eles foram notificados sobre a brecha em meados de janeiro, e a correção foi liberada no final de junho, segundo um alerta do CERT (veja aqui), uma equipe de segurança da universidade Carnegie Mellon que opera em parceria com o governo norte-americano.

 Especialistas encontram falha em sistemas de avisos de emergência

Nenhum comentário