Los investigadores de Kaspersky Lab han descubierto vulnerabilidades en un asistente virtual (hub) utilizado para gestionar todos los módulos conectados y sensores instalados en el hogar. El análisis revela que es posible que un atacante a distancia acceda al servidor del producto y baje de manera arbitraria un archivo que contenga los datos personales de los usuarios, lo que se necesita para acceder a sus cuentas y, como resultado, tomar el control de los sistemas en sus hogares.
Como la popularidad de los dispositivos conectados continúa en aumento, los asistentes virtuales o hubs para los hogares tienen una gran demanda. Facilitan la administración de la casa, pues combinan todas las configuraciones de los dispositivos en un solo lugar y le permiten a los usuarios ajustarlos y controlarlos mediante interfaces en la web o aplicaciones móviles. Algunos de estos asistentes incluso sirven como sistema de seguridad. A la par de ser un “unificador”, también hace que este dispositivo sea un objetivo atractivo para los ciberdelincuentes, pues podría servir como punto de entrada a los ataques a distancia. A principios del año pasado, Kaspersky Lab examinó un dispositivo inteligente usado en el hogar que facilitaba ataques de intrusos en base a algoritmos de generación de contraseñas débiles y puertos abiertos. Durante la nueva investigación, se descubrió que un diseño inseguro y varias vulnerabilidades en la arquitectura del dispositivo inteligente podrían proporcionar a los criminales acceso a la casa de alguien.
En primer lugar, los investigadores descubrieron que el hub envía datos del usuario cuando se comunica con un servidor, entre ellos las credenciales necesarias para iniciar sesión en la interfaz web del asistente virtual: la identificación y la contraseña del usuario. Además, otra información personal, como el número de teléfono utilizado para las alertas, también se puede enlistar ahí. Los atacantes a distancia pueden descargar el archivo con esta información enviando al servidor una solicitud legítima que incluye el número de serie del dispositivo. Y el análisis muestra que los intrusos también pueden descubrir este número de serie como resultado de los métodos simplistas que se emplean para generarlo.
Según los expertos, los números de serie pueden ser forzados mediante el uso del análisis lógico y se confirman haciendo una solicitud al servidor. Si un dispositivo con ese número de serie está registrado en un sistema en la nube, los delincuentes recibirán información afirmativa. Como resultado, pueden iniciar sesión en la cuenta web del usuario y manejar la configuración de los sensores y controladores conectados al hub.
Toda la información relacionada con las vulnerabilidades descubiertas se ha informado al proveedor y ahora se está realizando la reparación.
“Aunque los dispositivos utilizados en el Internet de las Cosas (IoT) han sido el foco de los investigadores de ciberseguridad en los últimos años, todavía se demuestra que son inseguros. Seleccionamos al azar el asistente virtual de uso en el hogar y el hecho de que lo encontramos vulnerable no es una excepción, sino más bien una confirmación más de los constantes problemas de seguridad en el mundo del IoT. Parece que, literalmente, todos los dispositivos de IoT, incluso los más simples, contienen al menos un problema de seguridad. Por ejemplo, recientemente analizamos una bombilla inteligente. Podríamos preguntarnos, ¿qué podría salir mal con una bombilla que solo permite cambiar el color de la luz y otros parámetros de iluminación por medio de un teléfono inteligente? Pues bien, encontramos que todas las credenciales de las redes Wi-Fi, es decir, nombres y contraseñas, a las que se había conectado la bombilla antes, se almacenan en su memoria sin cifrado. En otras palabras, la situación actual en la esfera de seguridad del IoT es que incluso la bombilla puede poner al usuario en peligro”, dijo Vladimir Dashchenko, jefe del grupo de investigación de vulnerabilidades de Kaspersky Lab ICS CERT.
“Es muy importante que los fabricantes garanticen la protección adecuada de sus usuarios y presten atención a los requisitos de seguridad cuando desarrollan y presentan sus productos, porque incluso pequeños detalles de diseño inseguro pueden tener consecuencias peligrosas”, concluyó.
Para mantenerse protegido, Kaspersky Lab le recomienda a los usuarios que consideren lo siguiente:
- Utilizar siempre una contraseña compleja y no olvidar cambiarla regularmente.
- Aumentar su conocimiento de seguridad consultando la información más reciente sobre vulnerabilidades descubiertas y corregidas de los dispositivos inteligentes, que generalmente está disponible en línea.
Para garantizar la seguridad del hogar “inteligente” y el Internet de las Cosas, Kaspersky Lab ofrece Kaspersky IoT Scanner, una aplicación gratuita para la plataforma Android. La solución examina la red Wi-Fi del hogar e informa al usuario sobre los dispositivos conectados y su nivel de seguridad.
Para mitigar los riesgos de ciberseguridad, Kaspersky Lab le aconseja a los fabricantes y desarrolladores que realicen siempre pruebas de seguridad antes de que envíen los productos al mercado y que cumplan con las normas de seguridad cibernética del IoT. Recientemente, Kaspersky Lab contribuyó a la norma ITU-T Y.4806 (Unión Internacional de Telecomunicaciones, sector de telecomunicaciones), creada para ayudar a mantener una protección adecuada de los sistemas del IoT, incluidas las ciudades inteligentes, los dispositivos médicos que llevan los pacientes y los que son autónomos, así como muchos otros.
Más información sobre esta investigación se encuentra disponible en Securelist.com