Cuando los vendedores usan contraseñas inútiles y más de 800.000 cámaras pueden terminar espiando a sus dueños

0
474

La gran inseguridad del Internet de las cosas no parece ser un problema que vaya a solucionarse pronto, todo tipo de dispositivos conectados han sido y siguen siendo explotados debido a sus pobres prácticas de seguridad.

Dos firmas de seguridad han descubierto que más de 800.000 webcams, cámaras de seguridad, monitores de bebés y de mascotas utilizan un sistema de control remoto basado en la nube que es ridiculamente inseguro y hace sumamente fácil que un hacker acceda al vídeo que transmiten.

Básicamente, imagina que compras una cámara para vigilar a tu mascota cuando sales de casa, o tienes una cámara en la habitación de tu bebé para monitorizarlo mientras duerme. Esa cámara te deja mirar la transmisión de vídeo a través de una app móvil que te pide un número de ID y una contraseña. Ambas cosas se encuentran escritas en la caja o en una etiqueta pegada al producto.

Cloud Services For Ip Cameras Expose Devices In Private Networks Youtube 2018 06 22 17 37 05

Cloud Services For Ip Cameras Expose Devices In Private Networks Youtube 2018 06 22 17 37 05

Demostración que muestra la enumeración de IDs de dispositivo válidos y contraseñas para acceder a la transmisión privada de una cámara

Si compras una cámara conectada que trae como contraseña por defecto algo como «123», es una mala señal

Es una práctica común, pasa con varios dispositivos que vienen configurados de fábrica con usuario y contraseña preestablecidos. En caso de la cámara, el sistema que hace que la app se conecte a un servidor del vendedor, y ese servidor establece la conexión contigo. Pues los investigadores de seguridad encontraron que muchas empresas implementan esto de la peor manera posible:

  1. Usan nombres en secuencia para asignar los IDs a cada dispositivo
  2. Usan contraseñas por defecto como «123», «123456» o «888888».
Vendors With Similar Cloud Solutions

Vendors With Similar Cloud Solutions

Productos que usan solucione ssimilares

Como los identificadores no se generan de forma aleatoria es extremadamente fácil para un atacante conectarse al servidor en la nube del vendedor, pueden intentar acceder a todos añadiendo IDs en secuencia e ingresando las contraseñas por defecto que son terribles. Puedes ver exactamente cómo de fácil se hace en este vídeo.

Varias aplicaciones de este tipo, como las de Yoosee tienen más de un millón de instalaciones en la Play Store solamente. Y hay muchas más empresas chinas que venden cámaras de marca blanca y que hacen exactamente lo mismo.

Al menos una vez ya se ha confirmado el uso de una cámara para espiar a su usuario, cuando una mujer reportó en Facebook que el monitor de su bebé empezó a mover la cámara sola. Una consultora investigó ese caso, y usaba el mismo sistema inseguro que hemos explicado en este artículo.

Cuando no es un grupo de hackers que se aprovecha de ellos para lanzar cosas como ataques DDoS, es que pueden ser usados para espiar a sus propios dueños. Así que la próxima vez que compres uno de estos dispositivos, ten en cuenta el sistema que usan y si tienen una contraseña inútil por defecto para mantenerte bien lejos de ellos.

Vía | Bleeping Computer
En Genbeta | Internet de las Cosas, el internet de los «hackers»

Temas