Los hacks de Sensible-Lock apuntan a problemas de IoT más grandes



Dos informes recientes sobre vulnerabilidades de cerraduras inteligentes muestran que los proveedores de IoT tienen un trabajo más grande que hacer para garantizar que sus productos se implementen y configuren de manera segura.

De acuerdo a Investigación de Grand Perspective, el tamaño del mercado world-wide de cerraduras inteligentes se valoró en $ 1.2 mil millones en 2019, con más de 7 millones de dispositivos vendidos solo ese año. Además, se prevé que registre una tasa compuesta anual del 18,5% de 2020 a 2027.

Pero dos informes publicados recientemente sobre vulnerabilidades de bloqueo inteligente deberían hacer que los consumidores y los proveedores piensen detenidamente sobre cómo se implementan e implementan estos dispositivos.

U-tec Ultraloq
Al informar sobre una falla que encontró con U-tec Ultraloq, un proyecto de bloqueo inteligente que comenzó como una campaña de Indiegogo, Craig Youthful, investigador de seguridad de Tripwire, le dice a Dim Reading through que se encontró con esta falla a fines de 2019 simplemente porque había tomado un interés en el protocolo ligero de publicación-suscripción MQTT (Transporte de telemetría de Message Queue Server) que se utiliza para dispositivos restringidos de Online de las cosas (IoT).

Como explica Youthful en su investigación: «El riesgo de usar MQTT surge cuando se implementa sin los esquemas de autenticación y autorización adecuados. Sin esto, cualquier persona que pueda conectarse al intermediario puede filtrar datos confidenciales y potencialmente influir en los sistemas cinéticos. Un usuario no autorizado que obtenga acceso al intermediario MQTT puede adivine fácilmente los nombres de los temas y use # para suscribirse a todo tipo de temas para obtener los datos que transitan por el corredor «.

Al realizar una serie de búsquedas en Shodan, un motor de búsqueda para dispositivos conectados, Younger descubrió un servidor con varias páginas de nombres de temas MQTT que también seguían apareciendo en búsquedas que hacen referencia a «bloqueo» y proveedores de correo electrónico gratuitos como «gmail.com».

«Yo mismo consulté al servidor con herramientas de línea de comandos de Linux (por ejemplo, mosquitto_sub), y al instante me inundó PII aparentemente de todo el mundo», escribió Youthful, y agregó que los datos incluían direcciones de correo electrónico e IP asociadas con bloqueos y registros con marca de tiempo de cuándo y donde se abrieron y cerraron.

En última instancia, Younger dice que pudo conectar esto de nuevo a U-tec. Luego compró el candado, lo emparejó con Bluetooth a través de un puente Wi-Fi y monitoreó los mensajes a través de MQTT hasta que encontró la falla.

«Los datos MQTT correlacionan las direcciones de correo electrónico, las direcciones MAC locales y las direcciones IP públicas adecuadas para la geolocalización … El dispositivo también transmite la dirección MAC a cualquier persona dentro del alcance de la radio. Esto significa que un atacante anónimo también podría recopilar detalles de identificación de cualquier cliente activo de U-Tec, incluida su dirección de correo electrónico, dirección IP y direcciones MAC inalámbricas «, escribió. «Esto es suficiente para identificar a una persona específica junto con la dirección de su hogar … Si la persona alguna vez abre la puerta con la aplicación U-Tec, el atacante ahora también tendrá una ficha para abrir la puerta en el momento que elija».

Younger pudo comunicarse con el proveedor abriendo un ticket de soporte para informar la falla. Después de decirle primero, «Por favor, no se preocupe», U-tec finalmente solucionó el problema implementando controles de acceso.

MQTT puede ser «una opción perfectamente segura», dice Younger, pero U-tec no tomó los pasos correctos.

«Debería utilizar controles de acceso, autenticación y cifrado. En este caso con U-tec, inicialmente no utilizaba ninguno de ellos», dice.

Cerradura inteligente de agosto
En otro informe, la firma de ciberseguridad Bitdefender detalló una vulnerabilidad que descubrió con August Smart Lock, también a fines de 2019, como parte de una asociación en curso con PCMag a través de la cual evalúan la seguridad de los dispositivos inteligentes.

Al explorar este producto, el equipo de Bitdefender dice que descubrió que si bien la comunicación del dispositivo con la aplicación del teléfono inteligente está encriptada, la clave de encriptación en sí está codificada en la aplicación, lo que permite a un atacante dentro del alcance escuchar e interceptar la contraseña de Wi-Fi.

Según Alex (Jay) Balan, investigador jefe de seguridad de Bitdefender, si bien esta vulnerabilidad es específica del momento de la configuración del dispositivo, el equipo también pudo identificar una forma de hacer ingeniería social al usuario para que vuelva a poner el dispositivo en modo de configuración tocando está fuera de línea.

«Nuestro enfoque sería, como atacantes, desconectarlo hasta que el usuario se sienta frustrado, reinicie el dispositivo y lo reconfigure a la configuración de fábrica», dice Balan. «Ahí es cuando interceptas esa comunicación y obtienes la contraseña de Wi-Fi».

Bitdefender se comunicó por primera vez con August sobre la vulnerabilidad en diciembre sin embargo, Balan dice que «la comunicación se interrumpió en marzo». Cuando Bitdefender publicó su artículo exponiendo la falla este mes, August resurgió para decir que la compañía estaba emitiendo una solución, pero Bitdefender no pudo confirmar su éxito.

«Dijeron que enviaron una solución. No la recibimos. No podemos confirmar una solución en este momento», dice Balan.

Un problema mayor con IoT
Tanto Youthful como Balan expresan que el problema tiene menos que ver con las cerraduras inteligentes y más con las formas en que se desarrollan e implementan los dispositivos de IoT, así como con la falta de mejores prácticas y la debida diligencia tanto por parte de los proveedores como de los consumidores.

«Es una triste realidad que no muchas empresas tengan contactos de seguridad», dice Balan, señalando la dificultad que ha tenido Bitdefender para informar las vulnerabilidades de sus productos. «En mi opinión, ninguna empresa debería operar sin un contacto de seguridad que funcione».

Recomienda que los consumidores obtengan sus productos de empresas que tienen programas de divulgación y vulnerabilidad visibles.

Younger está de acuerdo. «Probablemente debería haber regulaciones vigentes que indiquen que si está fabricando ciertos tipos de dispositivos, debe tener formas de contacto», dice.

Según Aamir Lakhani, investigador y practicante de ciberseguridad en FortiGuard Labs, las vulnerabilidades son comunes con las cerraduras inteligentes y otros productos de IoT debido a la dificultad de equilibrar la seguridad con la facilidad de uso.

«Diseñar un dispositivo que sea fácil de configurar y también seguro es difícil porque los fabricantes necesitan lidiar con una gran variedad de redes domésticas, enrutadores, puntos de acceso y otros dispositivos», le dice a Dim Studying. «Por lo tanto, los fabricantes hacen que sus dispositivos sean accesibles para &#39el mínimo denominador común&#39, lo que generalmente significa usar protocolos de seguridad que no siempre son los más seguros para todos los entornos».

Tanner Johnson, analista de ciberseguridad de IoT en Omdia, dice que otro problema es el tiempo de comercialización. Los dispositivos se eliminan sin prestar suficiente atención a la seguridad.

«Las empresas mismas están más preocupadas por no llegar al mercado que por ser retiradas del mercado», dice Johnson. «Ven un retiro del mercado como terrible, pero no tan malo como no estar ahí afuera para competir en el mercado».

Lo que se necesita son regulaciones a nivel federal, dice Johnson. «Entiendo que los estados son los laboratorios de la democracia», dice, «pero no es el momento de hacer intentos de seguridad. Necesitamos soluciones para la seguridad, y deben ser aceptadas y respetadas».

IoT: otra amenaza para los trabajadores remotos
La necesidad de asegurar la IoT es más important a medida que las personas trabajan y aprenden desde casa.

«Los atacantes saben que con una gran cantidad de personas trabajando desde casa, una forma posible de acceder a una red doméstica, y tal vez trabajar lateralmente para acceder a valiosos recursos corporativos, puede ser atacar los dispositivos IoT domésticos y determinar si pueden usarlos como lanzamiento. señale otros objetivos más valiosos para el atacante «, dice Lakhani.

Recomienda que los usuarios finales, como mínimo, cambien las contraseñas predeterminadas en los dispositivos de IoT y segmenten las redes domésticas para separar los activos corporativos del IoT individual.

Además, dice, las organizaciones pueden tomar medidas para mitigar los riesgos de los dispositivos de IoT en un entorno de trabajo remoto al tener el software de seguridad adecuado, los parches del sistema operativo y las políticas configuradas, así como métodos de acceso como autenticación multifactor, controles de acceso a la pink y certificados. acceso basado.

Nicole Ferraro es escritora, editora y narradora independiente que vive en la ciudad de Nueva York. Ha trabajado en medios de tecnología de consumo y b2b durante más de una década, anteriormente como editora en jefe de Net Evolution y Future Cities de UBM y como director editorial en The Webby Awards. … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic