Internacional. Los Investigadores de seguridad Chase Dardaman y Jason Wheeler encontraron en un centro inteliegente tres fallas de seguridad que, cuando se encadenan juntas, podrían ser abusadas para abrir una puerta principal con una cerradura inteligente.

El informe señala que expertos en seguridad han advertido durante mucho tiempo que agregar una conexión a Internet a un dispositivo aumenta la superficie de ataque, lo que hace que los dispositivos sean menos seguros que sus contrapartes tradicionales. Los centros inteligentes para el hogar que controlan los dispositivos inteligentes de una casa, como los medidores de agua e incluso la cerradura de la puerta delantera, pueden ser maltratados para permitir la entrada de los propietarios a la casa de un inquilino cuando lo deseen.

En enero, la experta en seguridad Lesley Carhart escribió sobre la decisión de su arrendador de instalar cerraduras inteligentes, obligándola a buscar un nuevo hogar. Otros inquilinos e inquilinos se han enfrentado a una presión similar por parte de sus propietarios e incluso demandaron para retener el derecho de usar una llave física.

Dardaman y Wheeler comenzaron a investigar el ZipaMicro, un popular centro de hogares inteligentes desarrollado por la firma croata Zipato, hace unos meses, pero solo publicaron sus hallazgos una vez que se solucionaron los defectos.

- Publicidad -

Los investigadores descubrieron que podían extraer la clave SSH privada del concentrador para "root", la cuenta de usuario con el nivel más alto de acceso, de la tarjeta de memoria en el dispositivo. Cualquier persona con la clave privada podría acceder a un dispositivo sin necesidad de una contraseña, dijo Wheeler.

Más tarde descubrieron que la clave SSH privada estaba codificada en cada centro vendido a los clientes, poniendo en riesgo cada hogar con el mismo centro instalado.

Utilizando esa clave privada, los investigadores descargaron un archivo del dispositivo que contenía contraseñas codificadas utilizadas para acceder al centro. Descubrieron que el centro inteligente utiliza un sistema de autenticación "pass-the-hash", que no requiere conocer la contraseña de texto sin formato del usuario, solo la versión codificada. Al tomar la contraseña codificada y pasarla al centro inteligente, los investigadores pudieron engañar al dispositivo para que pensara que eran los propietarios.

Todo lo que un atacante tenía que hacer era enviar una orden para decirle a la cerradura que se abriera o cerrara. Con solo unas pocas líneas de código, los investigadores crearon un script que bloqueaba y desbloqueaba un bloqueo inteligente conectado a un centro inteligente vulnerable.

Peor aún, Dardaman dijo que cualquier edificio de apartamentos que registrara una cuenta principal para todos los apartamentos en su edificio les permitiría "abrir cualquier puerta" desde el mismo hash de contraseña.

- Publicidad -

Los investigadores reconocieron que sus hallazgos no eran una llave maestra perfecta para los hogares de todos. Para explotar las fallas, un atacante necesitaría estar en la misma red Wi-Fi que el vulnerable hub inteligente. Dardaman dijo que cualquier centro conectado directamente a Internet sería explotable de forma remota. Los investigadores encontraron cinco dispositivos vulnerables con Shodan, un motor de búsqueda de dispositivos y bases de datos disponibles al público.

Zipato dice que tiene 112,000 dispositivos en 20,000 hogares, pero no se conoce el número exacto de centros vulnerables.

Fuente: TechCrunch.

Duván Chaverra
Author: Duván Chaverra
Editor Jefe
Jefe Editorial en Latin Press, Inc,. Comunicador Social y Periodista con experiencia de más de 13 años en medios de comunicación. Apasionado por la tecnología.

OTRAS NOTICIAS

article thumbnailGenetec Comparte rápidamente evidencia digital El video es una herramienta valiosa para resolver crímenes, pero la recopilación de evidencia puede ser un proceso lento, que a...
article thumbnailBolide Las cámaras termográficas BN9036TH y BN9136THB son un sistema de control de la temperatura corporal múltiple con inteligencia artificial y reconocimiento facial, para...
article thumbnailMéxico. Invixium, fabricante y proveedor de soluciones biométricas sin contacto, y Siasa, distribuidor mayorista, anunciaron una nueva sociedad de negocios exclusiva para...
article thumbnailLatinoamérica. Intcomex llegó a un acuerdo para comprar el negocio de ScanSource, Inc. de Latinoamérica, excepto Brasil.
article thumbnailLatinoamérica. El malware es peligroso ya que puede interrumpir, inhabilitar o tomar el control de los sistemas informáticos de los usuarios. El malware ha evolucionado a lo largo de...
article thumbnailInternacional. ISS - Intelligent Security Systems dio a conocer que ha agregado una analítica de desinfección de manos denominada: SecurOS, la cual hace parte de sus...
article thumbnailInternacional. Hikvision compartió sus resultados financieros para el primer semestre de 2020. Durante el período, la marca generó un ingreso de US$3.475 mil millones con un...
article thumbnailEstados Unidos. ADT y Google anunciaron una asociación a largo plazo para crear la próxima generación de ofertas de seguridad para el hogar inteligente. La asociación combinará...
article thumbnailLatinoamérica. La mayoría de las organizaciones han tenido que ajustar su flujo de trabajo para garantizar la seguridad de sus empleados durante la pandemia. De acuerdo con...
article thumbnailLatinoamérica. Del 25 al 27 de agosto SoftGuard realizará una nueva edición de la Certificación para Administradores SoftGuard. Serán tres días de cinco horas de duración en la...
article thumbnailLatinoamérica. Este espacio, que se realizó el 28 y 29 de julio, y en el que Ventas de Seguridad estuvo presente, reunió nuevamente a la comunidad de la seguridad...
article thumbnailLatinoamérica. ¿Cómo pasar de tecnología de contacto (lector de huellas, tarjetas de visitantes, etc.) a tecnología de no contacto (QR, cédulas, reconocimiento facial) para...
article thumbnailInternacional. Latinoamérica, como todo el mundo, ha experimentado una multitud de incendios que han destruido bienes valiosos, patrimonio cultural y en los peores casos – ha...
article thumbnailDormakaba La FACECAMW-2600 es un dispositivo que integra una cámara de alta resolución con potentes analíticos de reconocimiento facial y cubrebocas, así como control de...
article thumbnailMotorola La nueva línea de cámaras de CCTV de Motorola, Hello Security, es el resultado de 90 años de éxito en investigación y desarrollo de tecnologías innovadoras,...