Los timbres inteligentes son “pesadillas del Internet de las Cosas”

¿Cuentas con un timbre inteligente? Pues debes saber que según NCC Group (una consultora especializada en ciberseguridad), estos dispositivos pueden generar distintos problemas que seguridad.

Se han detectado incidencias que van desde funcionalidades no documentadas que, en caso de conocerse, podrían ser explotadas por ciberatacantes, hasta graves vulnerabilidades en el propio hardware o en las apps móviles usadas para gestionarlos.

Funcionalidades no documentadas

En uno de los modelos analizados se detectó un servicio DNS totalmente funcional, lo que podría haber dado lugar a su uso para la difusión de malware.

Otro de los modelos contaba con un servicio HTTP ejecutándose en el puerto 80. Pese a que acceder al mismo requería el uso de credenciales, éstas pudieron extraerse como texto plano de un modelo clónico de marca blanca disponible para su compra online.

Timbres inteligentes 1

Vulnerabilidades en apps móviles

Los investigadores se encontraron con que bastantes de las apps que gestionan los dispositivos analizados se conectaban a los mismos mediante conexiones HTTP no cifradas, en lugar de mediante HTTPS, lo que expone la información confidencial como los nombres de usuario y las contraseñas.

Otra vulnerabilidad de estas aplicaciones pasa por el abuso de los códigos QR. Al permitir tomar fotos de los mismos como modo de configurar la app, muchos móviles están duplicando en la nube unas imágenes de las que cuesta poco extraer los datos de acceso al dispositivo.

Vulnerabilidades de hardware

Los sistemas de instalación física de los timbres con frecuencia facilitan su extracción por parte de atacantes, de forma rápida y sencilla, sin que salte ninguna alarma.

Ring

Un atacante podría desviar el vídeo capturado por el timbre y almacenarlo en una tarjeta SD para determinar el comportamiento típico de los ocupantes. Además, el firmware podría extraerse y usarse para identificar el BSSID de WiFi y la contraseña de WiFi de texto sin formato para acceder a una red.

Como remate, probando este método de acceso al firmware, los expertos detectaron modelos que aún no habían parcheado la vulnerabilidad conocida como ‘KRACK’, pese a que ésta fue detectada en 2017.

Los investigadores concluyen que las preocupaciones eran generalizadas y apuntaban a la falta de un espíritu de seguridad por parte de los fabricantes de timbres inteligentes.

FuenteThreatpost

Post relacionados

Análisis

[Review total] AirPods Pro: te gustarán, pero cuestan 279 €

Es el momento ideal para contaros cuál ha sido mi experiencia de uso con los AirPods Pro después de 6 meses de uso. Aquellos que...

[Review] Samsung Galaxy A70: nuestra experiencia tras 3 meses de uso intensivo

El estado de alarma nos pilló a todos en fuera de juego, y justo en ese momento acababa de adquirir el Samsung Galaxy A70,...

[Análisis] Minecraft Dungeons

Disponible desde el 26 de mayo de 2020 en Xbox One, PlayStation 4, Nintendo Switch y PC. Es indudable que Minecraft se ha convertido en...

¡Únete a nuestro canal de Telegram!

No te pierdas las últimas noticias relacionadas con la tecnología: rumores, filtraciones, ofertas...

En Gurú Tecno hablamos de...