MADRI 24 fev. (Portaltic/EP) -
Uma falha de segurança no sistema de entrada de edifícios da Hirsch, que usa senhas padrão para a instalação de seus sistemas Enterphone MESH, permite que qualquer usuário controle o sistema de bloqueio remotamente e, portanto, obtenha acesso a edifícios ou roube informações de residentes, simplesmente por ter o guia de instalação.
Os fabricantes de alguns produtos conectados, como alto-falantes, brinquedos eletrônicos ou pulseiras de atividades, usam senhas padrão que vêm pré-configuradas. Assim, quando os usuários compram o produto em questão, eles podem iniciá-lo e acessar seus serviços usando essa senha geral. Depois disso, eles precisam configurar sua própria senha para uso particular.
No entanto, o uso de senhas padrão para dispositivos conectados à Internet é considerado uma vulnerabilidade de segurança de acordo com a CWE (Common Weakness Enumeration, enumeração de fraquezas comuns) porque, se os usuários não alterarem a senha padrão, será mais fácil para os agentes mal-intencionados contornarem a autenticação e acessarem os serviços do produto, seja para fazer login fazendo-se passar pelos proprietários, seja para roubar dados ou sequestrar os dispositivos.
Nesse sentido, foi encontrada uma vulnerabilidade no sistema de controle de portas Enterphone MESH usado nos Estados Unidos, que, fabricado pela empresa Hirsch, usa uma senha padrão para todos os sistemas e, portanto, se não for alterada, permite que qualquer pessoa acesse remotamente as fechaduras das portas e, portanto, os edifícios onde estão instaladas e as informações de seus moradores.
Especificamente, para explorar a falha, qualquer usuário simplesmente usa a senha padrão fornecida no guia de instalação do sistema, publicado no site da Hirsch, e a insere na página de login de qualquer sistema Enterphone MESH instalado em um edifício. A fechadura pode então ser acessada remotamente e, portanto, controlar as portas e acessar as informações dos usuários que as utilizam.
Isso foi detalhado pelo pesquisador de segurança cibernética Eric Daigle, que identificou a falha nos sistemas Enterphone MESH como falha de segurança CVE-2025-26793, que foi avaliada como "crítica", pois não especifica ou solicita que os administradores do sistema alterem as credenciais padrão na configuração inicial e também exige muitas etapas para concluir esse processo.
Conforme compartilhado em uma declaração em seu blog, Daigle alegou que, em sua pesquisa, ele conseguiu fazer login em "dezenas de prédios de apartamentos em cinco minutos" diretamente de seu smartphone, usando as senhas padrão da empresa.
Como ele explicou, depois de pesquisar o nome do sistema no Google, ele acessou o manual dos sistemas Enterphone MESH, que incluía um nome de usuário (freedom) e uma senha (viscond). Em seguida, ele acessou a página de login da interface da Web (FREEDOM Administration Login), que também está especificada no manual.
Uma vez lá dentro, ao fazer o login com as senhas padrão, Daigle conseguiu obter acesso ao sistema de backend, que incluía os nomes completos dos residentes com os números de suas unidades e o endereço do prédio em questão.
Daigle também conseguiu acessar um registro detalhando cada vez que um usuário entrava no prédio ou usava o elevador, o que fornece informações confidenciais, como quando o usuário está fora de seu apartamento.
Daigle observou que, de acordo com o site de varredura da Internet ZoomEye, que ele usou para rastrear os sistemas Enterphone MESH conectados à Internet, existem atualmente 71 sistemas instalados em edifícios que dependem das credenciais padrão.
Hirsch, por sua vez, disse ao TechCrunch que o uso de senhas padrão pela empresa está "desatualizado" e que é "preocupante" o fato de haver clientes que "instalaram sistemas e não seguiram as recomendações do fabricante", referindo-se ao guia de instalação dos sistemas Enterphone MESH.
Esta notícia foi traduzida por um tradutor automático