Investigadores de seguridad suenan alarma en timbres inteligentes



Un nuevo análisis de 11 timbres de video relativamente económicos descubrió vulnerabilidades de alto riesgo en todos ellos.

Los consumidores que deseen comprar timbres con video en esta temporada navideña harían bien en quedarse con marcas acreditadas y confiables.

Una revisión reciente de casi una docena de timbres de video económicos vendidos a través de mercados en línea como Amazon y eBay descubrió múltiples vulnerabilidades de seguridad en cada dispositivo. El más serio de ellos fue la práctica de algunos de los dispositivos de enviar nombres de Wi-Fi, contraseñas, información de ubicación, fotos, films, correos electrónicos y otros datos al fabricante sin una razón obvia.

La consultora de seguridad NCC Group, en colaboración con la organización de consumidores del Reino Unido Which ?, seleccionó 11 timbres con online video disponibles en los mercados en línea más populares del Reino Unido. Algunos se parecían mucho entre sí pero eran de diferentes fabricantes. Otros dispositivos parecían imitadores de Amazon Ring. Todos los productos tenían precios sustancialmente más bajos que el precio minorista promedio de marcas conocidas, como Ring y el timbre inteligente Nest Howdy de Google.

Aunque la mayoría de los modelos probados eran de marcas poco conocidas, algunos de ellos tenían altas calificaciones de usuarios y uno de los productos incluso fue respaldado con el logotipo de Amazon&#39s Decision, lo que significa que el minorista había recomendado el producto.

¿El grupo NCC y cuál? estudiar descubrió problemas de seguridad relacionados con el hardware, las aplicaciones asociadas y los servidores que transmitían y transfirieron datos desde los timbres.

Por ejemplo, dos timbres con movie de Victure y Ctroncs tenían una falla de seguridad que podría permitir a un atacante robar la contraseña de la purple y usarla para piratear el timbre y el enrutador, así como otros dispositivos conectados a la red.

Se descubrió que otro timbre inteligente de Victure, que Amazon había etiquetado como uno de los más vendidos y tenía una puntuación de 4,3 de 5 estrellas de más de 1000 usuarios, estaba enviando una gran cantidad de datos confidenciales, incluido el nombre y la contraseña de la purple Wi-Fi. de forma no cifrada a servidores en China.

Un dispositivo que se vendía en Amazon y eBay, que no tenía una marca discernible asociada, tenía una implementación vulnerable del protocolo WPA-2 que permitiría a un atacante obtener acceso a toda la red doméstica del propietario de un timbre de movie. Una puerta de video inteligente Qihoo 360, en Amazon, period fácil de piratear con solo un expulsor de tarjeta SIM estándar, y otra tenía una falla que permitía a los atacantes desconectar el dispositivo al configurarlo nuevamente en una etapa de «emparejamiento».

Llamando a casa
«Dada su disponibilidad en varios mercados en línea, pero muy poca información sobre los dispositivos y su seguridad, sentimos que sería interesante probarlos desde una perspectiva de implementación y diseño seguro», dice Matt Lewis, director de investigación de NCC Group.

«El hallazgo más sorprendente fue ver algunos de los timbres enviando contraseñas de Wi-Fi domésticas a través de Net y sin cifrar a servidores remotos», dice. «No está realmente claro para qué sería el propósito de tal característica, y ciertamente expone toda la pink doméstica de una persona a posibles atacantes y criminales».

Lewis dice que se observó que casi todos los timbres enviaban al menos algunos datos a servidores remotos ubicados fuera del Reino Unido y Europa, pero no siempre eran datos confidenciales.

Según el Grupo NCC, los 11 dispositivos que se probaron tenían una o más vulnerabilidades de seguridad de alto riesgo y un «gran número» tenía contraseñas predeterminadas débiles y fáciles de adivinar. El proveedor describió dos de los productos como críticamente vulnerables y otros nueve con problemas de seguridad de «alto impacto».

«La principal lección para los consumidores es que realmente hagan sus deberes antes de comprar dispositivos como estos y, cuando sea posible, seguir con las marcas populares y conocidas», dice Lewis. Si bien las marcas menos conocidas pueden ser mucho más baratas, por lo general tienen características y un diseño de seguridad inadecuados o faltantes, dice.

El nuevo informe destaca lo que numerosos investigadores han descrito como la creciente amenaza para la seguridad de World wide web de los dispositivos inseguros de Online de las cosas (IoT). Han notado cómo un gran porcentaje de dispositivos inteligentes (timbres, termostatos conectados, televisores, enrutadores, impresoras, and many others.) que se instalan en hogares de todo el mundo están muy débilmente protegidos contra espionaje, robo de datos, sabotaje y otros ataques.

Los ataques distribuidos de denegación de servicio (DDoS) de Mirai de 2016 fueron los primeros en demostrar cómo los atacantes podían abusar de dispositivos IoT inseguros para causar estragos generalizados. Desde entonces, ha habido muchos otros incidentes en los que los atacantes han secuestrado una gran cantidad de dispositivos de IoT y han ensamblado botnets para lanzar ataques DDoS y distribuir ransomware y otro malware.

Las preocupaciones sobre las vulnerabilidades de IoT han provocado algunas acciones legislativas. Un ejemplo es California Ley de seguridad de Online de las cosas, que entró en vigor en enero de 2020. La ley exige que los fabricantes de dispositivos conectados implementen medidas razonables para proteger cualquier información que los dispositivos puedan recopilar, contener o transmitir.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic