Bateria Marstek B2500-D envia dados sem criptografia e usa chave estática AES-128-ECB
A bateria Marstek B2500-D, dispositivo de armazenamento de energia voltado para sistemas residenciais e comerciais, apresenta falhas graves de segurança que expõem dados sensíveis dos usuários. Uma análise técnica revelou que o equipamento transmite telemetria completa via HTTP simples, sem qualquer camada de criptografia, e utiliza uma chave estática AES-128-ECB para proteger comunicações, um método considerado obsoleto e vulnerável a interceptação.
O que foi descoberto
O pesquisador de segurança Luca Becker detalhou que o Marstek B2500-D envia informações operacionais do dispositivo diretamente por HTTP, protocolo que transmite dados em texto puro pela rede. Isso significa que qualquer pessoa com acesso à mesma rede local pode capturar pacotes e visualizar dados como status da bateria, padrões de consumo energético e configurações do sistema. A chave AES-128-ECB utilizada é estática, ou seja, idêntica em todos os dispositivos da mesma linha, o que anula qualquer proteção real contra ataques de replay ou decodificação.
- ▶Transmissão de telemetria via HTTP sem criptografia
- ▶Uso de chave estática AES-128-ECB, padrão considerado inseguro
- ▶Dados operacionais expostos a interceptação em rede local
- ▶Vulnerabilidade afeta toda a linha de dispositivos com mesma configuração
O impacto para o mercado IoT
Essa descoberta reforça um problema crônico no ecossistema de dispositivos IoT
a priorização de funcionalidade e custo sobre segurança. Fabricantes de baterias inteligentes, inversores solares e equipamentos de energia conectada frequentemente negligenciam protocolos básicos de proteção, expondo milhões de usuários a riscos que vão desde espionha de padrões de consumo até manipulação remota de dispositivos críticos. O caso do Marstek B2500-D serve como alerta para consumidores e empresas que integram esses equipamentos em infraestruturas sensíveis.
O que deveria ser feito
A correção exige que a Marstek implemente HTTPS com TLS para todas as comunicações, substitua a chave estática por um sistema de chaves dinâmicas e únicas por dispositivo, e adote autenticação mútua entre o equipamento e a nuvem. Enquanto isso, usuários devem isolar esses dispositivos em redes segmentadas e monitorar o tráfego de dados. O episódio evidencia que a segurança em IoT ainda está em estágio inicial e que regulamentações mais rigorosas são urgentes para proteger consumidores contra falhas que, em muitos casos, são evitáveis com práticas básicas de engenharia de software.