Agora Você Vê mi: Você Foi Pwned
Aprofundamento CEVIU
Aprofundamento
A TASZK Security Labs não encontrou um simples bug de configuração na Xiaomi C400: descobriu uma falha estrutural no miIO, o protocolo que sustenta centenas de dispositivos Xiaomi. O bypass de autenticação não depende de senhas fracas ou reset físico, mas de uma corrida de tempo explorável no handshake, onde o atacante reenvia valores gerados pela câmera para pular a verificação do código de configuração. O PRNG fraco (TVE-2026-02) usa uClibc’s Lagged Fibonacci Generator, um algoritmo projetado para simulações, não para criptografia, permitindo prever chaves e nonces após menos de 22 pacotes. Já o heap buffer overflow (TVE-2026-03) não é um estouro genérico: ele corrompe metadados do alocador de memória (como chunk headers), dando controle preciso sobre a execução remota, o que torna o RCE confiável mesmo em firmware com ASLR ativado.
Essa combinação permite o 'cloud jailbreak': o atacante redireciona todo o tráfego de vídeo e comando da câmera para sua própria infraestrutura, sem tocar na nuvem da Xiaomi, e sem acionar alertas de integridade de firmware. A Xiaomi ainda não lançou patch, aviso oficial nem CVE, apesar de ter recebido o reporte em 4 de setembro de 2025. E isso não é isolado: câmeras IP representaram 19% de todos os exploits observados em 2025, com 820 mil tentativas de invasão diárias contra IoT, volume que se mantém estável em 2026.
Por que isso importa
Empresas que usam câmeras Xiaomi C400 em ambientes corporativos ou de vigilância crítica estão expostas a um acesso root persistente via Wi-Fi local, sem necessidade de credenciais, sem logs evidentes, e sem depender de atualizações manuais. O 'cloud jailbreak' transforma o dispositivo em um ponto cego de monitoramento: o vídeo flui para um servidor controlado pelo atacante, enquanto a interface da nuvem da Xiaomi mostra 'conexão normal'. Isso já foi replicado por atores estatais iranianos em câmeras Hikvision e Dahua em março de 2026, prova de que o modelo de exploração é operacionalmente viável em campo. Mais grave: como o miIO é usado em dezenas de outros produtos Xiaomi, essa vulnerabilidade pode estar disseminada além da C400, mas sem divulgação pública nem mecanismo de notificação obrigatória para consumidores ou empresas.
Perguntas frequentes
Como um atacante explora essas falhas na prática?
Ele precisa estar dentro do alcance de rádio Wi-Fi da câmera. Não precisa de senha nem de acesso físico. Com um laptop ou Raspberry Pi, envia pacotes maliciosos durante a configuração inicial ou logo após um reset de fábrica, aproveitando a janela de tempo em que o dispositivo espera o código de configuração. Em menos de 22 tentativas, prevê chaves criptográficas e força o heap overflow para executar código arbitrário.
A Xiaomi já corrigiu as falhas?
Não. Até 18 de março de 2026, não há patch público, aviso oficial nem número CVE atribuído. A empresa reconheceu o reporte em setembro de 2025, mas recusou a política de divulgação coordenada da TASZK e pediu adiamento. A TASZK divulgou tudo em 16 de março, seis meses e meio após o primeiro contato.
Meu sistema de vigilância corporativo está em risco?
Sim, se usar câmeras Xiaomi C400 ou qualquer outro dispositivo que dependa do protocolo miIO. O ataque não gera logs detectáveis pela nuvem da Xiaomi, não exige credenciais válidas e não depende de atualizações manuais. A única mitigação eficaz agora é isolar esses dispositivos em rede segmentada, desativar o modo de configuração remota e desligar o Wi-Fi se houver opção de cabo.
Por que esse tipo de falha é tão perigoso em IoT?
Dispositivos IoT como câmeras têm pouca memória, sistemas operacionais mínimos e quase nunca recebem correções de segurança após o lançamento. Aqui, o problema não é um erro pontual: é um projeto inseguro desde a raiz, protocolo sem autenticação real, PRNG inadequado e código que não valida limites de buffer. Uma vez comprometido, o dispositivo vira um 'backdoor silencioso', invisível a firewalls tradicionais e ferramentas de detecção de intrusão.
Fontes
- labs.taszk.iofonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 18 de março de 2026
- Editoria
- CEVIU Segurança da Informação
