Cuando hackear una bombilla inteligente sirve para robar la contraseña del WiFi e información privada en menos de una hora

0
365

Un supuesto hacker acaba de publicar en el sitio LimitedResults una vulnerabilidad catalogada de «moderada a grave» que permitiría hackear una bombilla inteligente, en este caso se habla de la LIFX mini white, y así tener acceso a algunos datos privados del usuario, donde se incluye, por ejemplo, la contraseña de la red WiFi.

Según el responsable de esta investigación, la bombilla LIFX mini white, cuyo precio ronda los 25 dólares, cuenta con una vulnerabilidad que permitiría que un atacante pueda extraer el nombre de usuario y la contraseña de una WiFi, así como otros datos valiosos, en menos de una hora.

Según LIFX, la vulnerabilidad ha sido corregida

En el sitio se detallan los pasos para hackear la bombilla, que consiste principalmente en extraer el chip principal de la bombilla, para posteriormente conectarlo a través de USB a otro chip para tener acceso a su información.

Según explican, el chip de la bombilla tiene almacenadas las credenciales de acceso a la red WiFi, las cuales están en texto plano sin ningún tipo de cifrado. Con esta información, LimitedResults afirma que cualquier persona podría tener acceso a la configuración de red y modificar la contraseña, además de todos los riesgos que esto conlleva.

La investigación también demuestra que esta bombilla no cuenta con ninguna configuración de seguridad, no necesita inicio de sesión y toda la información almacenada no tiene ningún cifrado. Ante esto, el dispositivo puede ser controlado por software o hardware no autorizado, ya que la conexión se hace de forma directa sin capas adicionales de seguridad, e incluso se podrían escribir datos en la memoria del dispositivo.

Bulbinterface

Después de darse a conocer esta vulnerabilidad, LIFX emitió un comunicado donde informa que esta vulnerabilidad ha sido corregida. La compañía afirma que sus bombillas han recibido una actualización de firmware y ahora las credenciales del usuario están cifradas, además de que se añadió una nueva configuración de seguridad para el acceso a la memoria de la bombilla y la clave privada también está cifrada.

Esto es nuevo ejemplo de la falta de seguridad de algunos fabricantes de dispositivos conectados, y es que en el caso de LIFX no es la primera vez que hackean sus bombillas. Como sabemos, esto ha servido para iniciar diversos ataques que van desde cosas sencillas como jugar con las luces de una oficina, hasta cosas más elaboradas como aquel ataque DDoS que noqueó la web en 2016.

Temas