Menu

Fallo de seguridad en productos smart home abría puertas inteligentes: ESET

*Investigadores de la firma descubrieron fallos de privacidad y ciberseguridad en productos de la empresa Zipato.

*El fallo permitía obtener contraseñas y hacerse pasar por el usuario al solicitar abrir una puerta inteligente.

 

La división latinoamericana de ESET informó que realizó un análisis sobre la existencia de una serie de vulnerabilidades críticas en dispositivos IoT de la marca Zipato. Estos gadgets son utilizados para integrar centrales inteligentes (smart hub) que controlan productos basados en internet implementados en el hogar. De acuerdo con los especialistas, en caso de ser vulnerados, podrían permitir a delincuentes abrir puertas de domicilios que utilicen cerraduras inteligentes.

El jefe del laboratorio de la firma en Latinoamérica, Camilo Gutiérrez, declaró que los riesgos de seguridad en dispositivos de internet de las cosas no son recientes. Señaló que actualmente la industria está lejos de contar con estándares de protección para IoT; a pesar de que estos artefactos son cada vez más fáciles de usar, aún representan una posibilidad de ser atacados, generando amenazas.

A inicios del año 2018 los investigadores de esta firma hicieron público un paper donde exponen los resultados de su análisis a 12 dispositivos inteligentes presentes en el mercado. La información exponía que todos presentaron al menos un problema en aspectos de resguardo de privacidad, mientras que algunos tuvieron además fallas de seguridad.

Estos defectos fueron descubiertos por Charles Dardaman y Jason Wheeler. Dos de las tres fallas encontradas son de diseño e implementación de mecanismos de autenticación de la API de la central inteligente, mientras que la tercera radica en la llave privada SSH para ROOT, que según se explica en la publicación, es única y permite que pueda ser extraída de la tarjeta de memoria ubicada en el dispositivo.

Esta llave extraíble es la puerta de entrada a la cuenta del usuario con máximo nivel de acceso, por ende cualquiera que la tenga puede acceder al dispositivo sin necesidad de tener que crackear la contraseña.

Los miembros del equipo de ESET hicieron uso de la llave privada para descargar del dispositivo un archivo .json que contenía una contraseña hasheada, la cual utilizaron para acceder a la API mediante el uso de la técnica “pass the hash”. De esta manera, los investigadores lograron engañar al dispositivo y hacerle creer que eran los propietarios del equipo, ingresando de esta forma al smart hub.

Así demostraron que mediante un comando un atacante podría enviar una solicitud a una central inteligente vulnerable para desbloquear y bloquear una puerta. Además, los especialistas comentaron que en edificios, si un apartamento tiene registrada una cuenta principal para el resto del inmueble,  permitiría abrir todas las puertas.

Los resultados de esta investigación fueron publicados recientemente, pero el hallazgo data de febrero de 2019. Los detalles se hicieron públicos una vez que la compañía Zipato reparó los fallos de seguridad en marzo de este año.

El jefe ejecutivo de Zipato declaró que  cada central inteligente viene con una llave privada SSH única, así como otras mejoras de seguridad que fueron añadidas. Además, la compañía comentó que ha descontinuado la central Inteligente ZipaMicro por un producto más nuevo.

 

 






Comments are Closed