Internacional. Los Investigadores de seguridad Chase Dardaman y Jason Wheeler encontraron en un centro inteliegente tres fallas de seguridad que, cuando se encadenan juntas, podrían ser abusadas para abrir una puerta principal con una cerradura inteligente.

El informe señala que expertos en seguridad han advertido durante mucho tiempo que agregar una conexión a Internet a un dispositivo aumenta la superficie de ataque, lo que hace que los dispositivos sean menos seguros que sus contrapartes tradicionales. Los centros inteligentes para el hogar que controlan los dispositivos inteligentes de una casa, como los medidores de agua e incluso la cerradura de la puerta delantera, pueden ser maltratados para permitir la entrada de los propietarios a la casa de un inquilino cuando lo deseen.

En enero, la experta en seguridad Lesley Carhart escribió sobre la decisión de su arrendador de instalar cerraduras inteligentes, obligándola a buscar un nuevo hogar. Otros inquilinos e inquilinos se han enfrentado a una presión similar por parte de sus propietarios e incluso demandaron para retener el derecho de usar una llave física.

- Publicidad -

Dardaman y Wheeler comenzaron a investigar el ZipaMicro, un popular centro de hogares inteligentes desarrollado por la firma croata Zipato, hace unos meses, pero solo publicaron sus hallazgos una vez que se solucionaron los defectos.

Los investigadores descubrieron que podían extraer la clave SSH privada del concentrador para "root", la cuenta de usuario con el nivel más alto de acceso, de la tarjeta de memoria en el dispositivo. Cualquier persona con la clave privada podría acceder a un dispositivo sin necesidad de una contraseña, dijo Wheeler.

Más tarde descubrieron que la clave SSH privada estaba codificada en cada centro vendido a los clientes, poniendo en riesgo cada hogar con el mismo centro instalado.

Utilizando esa clave privada, los investigadores descargaron un archivo del dispositivo que contenía contraseñas codificadas utilizadas para acceder al centro. Descubrieron que el centro inteligente utiliza un sistema de autenticación "pass-the-hash", que no requiere conocer la contraseña de texto sin formato del usuario, solo la versión codificada. Al tomar la contraseña codificada y pasarla al centro inteligente, los investigadores pudieron engañar al dispositivo para que pensara que eran los propietarios.

Todo lo que un atacante tenía que hacer era enviar una orden para decirle a la cerradura que se abriera o cerrara. Con solo unas pocas líneas de código, los investigadores crearon un script que bloqueaba y desbloqueaba un bloqueo inteligente conectado a un centro inteligente vulnerable.

Peor aún, Dardaman dijo que cualquier edificio de apartamentos que registrara una cuenta principal para todos los apartamentos en su edificio les permitiría "abrir cualquier puerta" desde el mismo hash de contraseña.

Los investigadores reconocieron que sus hallazgos no eran una llave maestra perfecta para los hogares de todos. Para explotar las fallas, un atacante necesitaría estar en la misma red Wi-Fi que el vulnerable hub inteligente. Dardaman dijo que cualquier centro conectado directamente a Internet sería explotable de forma remota. Los investigadores encontraron cinco dispositivos vulnerables con Shodan, un motor de búsqueda de dispositivos y bases de datos disponibles al público.

Zipato dice que tiene 112,000 dispositivos en 20,000 hogares, pero no se conoce el número exacto de centros vulnerables.

Fuente: TechCrunch.

Author: Duván Chaverra

OTRAS NOTICIAS

article thumbnailHikvision El nuevo NVR iDS-9600NXI-I8 / 4F de la serie DeepinMind posee potentes funciones de detección y análisis de rostros, con una potente...
article thumbnailVivotek Smart VCA es la suite de análisis de video de próxima generación que se ejecuta en cámaras VIVOTEK para aplicaciones de seguridad, impulsado...
article thumbnailVideo Mount Products  Los gabinetes de rack de piso VMP EREN-27 y EREN-42E, ofrecen más opciones, con tamaños de 27U y 42U, completamente ensamblados y...
article thumbnailColombia. Con el crecimiento exponencial de tendencias como el almacenamiento en la nube, con sus capacidades exorbitantes para guardar cada vez más...
article thumbnailEstados Unidos. Una nueva encuesta del Centro de Investigación Pew revela que la mayoría de los estadounidenses confía en las agencias de aplicación de...
article thumbnailInternacional. La industria minorista tiene sus propias necesidades únicas de seguridad de video y hay algunos factores en los que no debe...
article thumbnailInternacional. Altronix, destacó en su blog las bondades de los sistemas integrados de control de acceso y videovigilancia, indicando que...
article thumbnailInternacional. HID Global ha desarrollado una novedosa tecnología que le permite a los usuarios comprobar la originalidad de un producto partiendo de...
article thumbnailInternacional. Genetec anunció que Stratocast, su servicio de videovigilancia basado en la nube (VSaaS), impulsado por la plataforma de computación...
article thumbnailEcuador. La Asociación Latinoamericana de Seguridad (ALAS) prepara para el próximo 17 de septiembre un nuevo Desayuno ALAS, que en esta oportunidad se...