Expertos en seguridad escudriñan las redes IoT de Apple y Amazon



Ambas empresas han hecho su debida diligencia en la creación de redes de dispositivos conectados, pero la omnipresencia de los dispositivos preocupa a algunos investigadores de seguridad.

Apple y Amazon, dos de los mayores fabricantes de dispositivos conectados, ahora tienen redes de comunicaciones operativas de bajo consumo que se acoplan a sus dispositivos para alimentar una variedad de servicios. Pero los expertos en seguridad están analizando si la transferencia de mensajes simples expande la superficie de ataque de sus dispositivos.

La semana pasada, Amazon anunció que su purple de dispositivos conectados Sidewalk se activó. Anunciada originalmente en 2019, la red utiliza el ancho de banda de los dispositivos de puerta de enlace de Amazon, como las cámaras Ring o los dispositivos Bluetooth Low Strength (BLE). Por su parte, Apple anunció en mayo sus dispositivos de rastreo AirTag, que utilizan su red Obtain My que envía mensajes utilizando el ancho de banda de los dispositivos Apple cercanos.

Las redes, y el parásito de compartir ancho de banda, plantean preguntas sobre la facilidad con la que se puede abusar de dicha tecnología, dice Johannes Ullrich, decano de investigación del Instituto de Tecnología SANS. Los piratas informáticos encontrarán formas de enviar datos a través de la purple, aunque Amazon está limitando el ancho de banda whole para una puerta de enlace en individual a 80 Kbps.

«Se trata de compartir datos y ancho de banda: personas aleatorias pueden usar su dispositivo, pero usted también puede usar su dispositivo», dice. «En lo que respecta a los riesgos, no sabe quién united states realmente su dispositivo o para qué lo está usando. No tiene command sobre quién usa su dispositivo o cómo lo está usando».

Las preocupaciones sobre las redes omnipresentes de los dos fabricantes de dispositivos subrayan que la seguridad será una parte importante de las consideraciones futuras para la tecnología. Si bien Apple ha operado su purple Obtain My durante años, la reciente incorporación de rastreadores conectados AirTags ha renovado el escrutinio. La crimson Find My de Apple ya ha sido cooptado para enviar mensajes creados por atacantes y como canal encubierto para enviar datos. Aunque los datos del usuario no se han visto comprometidos, la compañía ha discutido algunas de sus defensas para hacer que la pink sea amigable con la privacidad y recientemente anunció que abrirá la pink Uncover My a socios aprobados. Amazon ha prometido lo mismo con su crimson Sidewalk.

En muchos sentidos, especialmente para el usuario cuyo dispositivo envía datos, los riesgos no son mayores que cuando envía datos a través de un proveedor de servicios de Online, dice Ullrich.

«Una vez que los datos salen de su dispositivo, no tiene command sobre cómo se enrutan a través de Net», dice. «Y al compartir redes, todo está cifrado de forma predeterminada. No existe una opción sin cifrar para estas redes».

Sin embargo, existen riesgos.

Para evitar ataques de denegación de servicio, se puede analizar el tráfico de comunicaciones para verificar que sea un tráfico válido. Cada vez que un dispositivo mira la entrada de datos de un usuario que no es de confianza, la seguridad podría verse atacada, dice Ullrich de SANS.

«Básicamente está aceptando estos mensajes de usuarios aleatorios y la pregunta es, ¿qué tan buena es la implementación?» él dice. «Amazon Sidewalk tiene que analizar el mensaje y asegurarse de que sea válido, por lo que podría haber ataques de ejecución de código si se encuentra una vulnerabilidad».

En un breve análisis publicado en el weblog SANS, Ullrich recomienda que los usuarios opten por no participar en Amazon Sidewalk hasta que los investigadores de seguridad hayan tenido un tiempo razonable para analizar la implementación de la empresa.

Amazon ha publicado un documento técnico de seguridad describiendo los pasos que la compañía ha tomado para proteger su tecnología, incluidas tres capas de cifrado e identidades confiables para los dispositivos.

«Como beneficio comunitario de colaboración colectiva, Amazon Sidewalk es tan poderoso como la confianza que nuestros clientes depositan en nosotros para salvaguardar los datos de los clientes», afirmó la compañía. «Con ese fin, este documento describe los pasos que hemos tomado para proteger la pink y mantener la privacidad del cliente».

Apple también se ha comprometido con la privacidad de sus usuarios y dice que su red Find My es totalmente anónima.

A pesar de la diligencia debida que han llevado a cabo Amazon y Apple, los consumidores estarían mejor atendidos si las especificaciones de las redes omnipresentes de las empresas se abrieran a la comunidad, dice Ullrich de SANS. En este punto, la documentación de Amazon es vaga, con pocos detalles sobre cómo funciona realmente el protocolo, dice.

«Realmente está pidiendo un estándar», dice. «¿Por qué necesitamos tener múltiples redes? Toda la concept de código abierto, donde puedo inspeccionar los protocolos o software package reales, puedo encontrar fallas pero también mejorar el protocolo. Con el tiempo, a medida que más desarrolladores obtienen acceso, con suerte, abrirá esa documentación «.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Looking at, MIT&#39s Technological know-how Overview, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary