NCC Group, una consultora especializada en ciberseguridad, publicó hace unos días un informe centrado en analizar el nivel de seguridad de los dispositivos IoT conocidos como ‘timbres inteligentes’, en los que se analizaban los principales modelos disponibles en el mercado de entre los fabricados por Victure, Qihoo y Accfly.
La conclusión a la que llegaron se resume en la calificación textual de «pesadillas del Internet de las Cosas doméstico» que reciben estos dispositivos, tras detectar que están plagados de vulnerabilidades.
El objetivo de los timbres inteligentes radica en poder advertir a los propietarios de una vivienda/local de la llegada de visitantes deseados e indeseados, permitiendo también visualizarlos y establecer una comunicación con los mismos, lo que los convierte también en sustitutos de las mirillas y los telefonillos.
Sin embargo, según NCC, estos dispositivos pueden proporcionarnos más problemas que seguridad. Los problemas que han detectado van desde funcionalidades no documentadas que, en caso de conocerse, podrían ser explotadas por ciberatacantes, hasta graves vulnerabilidades en el propio hardware o en las apps móviles usadas para gestionarlos.
Y esto es preocupante porque, actualmente, el 39% de los hogares de EE.UU. cuentan con algún dispositivo IoT (un porcentaje que ha crecido un 33% a lo largo de este año), y en ese ámbito los timbres inteligentes constituyen la categoría más popular.
Funcionalidades no documentadas
En uno de los modelos analizados se detectó un servicio DNS totalmente funcional, lo que podría haber dado lugar a su uso para la difusión de malware.
Otro de los modelos contaba con un servicio HTTP ejecutándose en el puerto 80. Pese a que acceder al mismo requería el uso de credenciales, éstas pudieron extraerse como texto plano de un modelo clónico de marca blanca disponible para su compra online.
Vulnerabilidades en apps móviles
Los investigadores se encontraron con que bastantes de las apps que gestionan los dispositivos analizados se conectaban a los mismos mediante conexiones HTTP no cifradas, en lugar de mediante HTTPS, lo que expone la información confidencial como los nombres de usuario y las contraseñas.
Otra vulnerabilidad de estas apps radica en el abuso de los códigos QR. Al permitir tomar fotos de los mismos como modo de configurar la app, muchos móviles están duplicando en la nube unas imágenes de las que cuesta poco extraer los datos de acceso al dispositivo.
Vulnerabilidades de hardware
Los sistemas de instalación física de los timbres con frecuencia facilitan su extracción por parte de atacantes, de forma rápida y sencilla, sin que salte ninguna alarma (con la excepción de uno de los modelos analizados, dotados de un gatillo de presión para detectar esta clase de manipulación).
Lo grave de esto no radica en que puedan robar los timbres, sino en que puedan ser manipulados: una vez que existe acceso físico al mismo, se puede acceder así mismo a toda clase de información sensible contenida en el firmware.
Como remate, probando este método de acceso al firmware, los expertos detectaron modelos que aún no habían parcheado la vulnerabilidad conocida como ‘KRACK’, pese a que ésta fue detectada en 2017.
Vía | Threatpost Imagen | Ring.com