Internacional. Los Investigadores de seguridad Chase Dardaman y Jason Wheeler encontraron en un centro inteliegente tres fallas de seguridad que, cuando se encadenan juntas, podrían ser abusadas para abrir una puerta principal con una cerradura inteligente.

El informe señala que expertos en seguridad han advertido durante mucho tiempo que agregar una conexión a Internet a un dispositivo aumenta la superficie de ataque, lo que hace que los dispositivos sean menos seguros que sus contrapartes tradicionales. Los centros inteligentes para el hogar que controlan los dispositivos inteligentes de una casa, como los medidores de agua e incluso la cerradura de la puerta delantera, pueden ser maltratados para permitir la entrada de los propietarios a la casa de un inquilino cuando lo deseen.

En enero, la experta en seguridad Lesley Carhart escribió sobre la decisión de su arrendador de instalar cerraduras inteligentes, obligándola a buscar un nuevo hogar. Otros inquilinos e inquilinos se han enfrentado a una presión similar por parte de sus propietarios e incluso demandaron para retener el derecho de usar una llave física.

- Publicidad -

Dardaman y Wheeler comenzaron a investigar el ZipaMicro, un popular centro de hogares inteligentes desarrollado por la firma croata Zipato, hace unos meses, pero solo publicaron sus hallazgos una vez que se solucionaron los defectos.

Los investigadores descubrieron que podían extraer la clave SSH privada del concentrador para "root", la cuenta de usuario con el nivel más alto de acceso, de la tarjeta de memoria en el dispositivo. Cualquier persona con la clave privada podría acceder a un dispositivo sin necesidad de una contraseña, dijo Wheeler.

Más tarde descubrieron que la clave SSH privada estaba codificada en cada centro vendido a los clientes, poniendo en riesgo cada hogar con el mismo centro instalado.

Utilizando esa clave privada, los investigadores descargaron un archivo del dispositivo que contenía contraseñas codificadas utilizadas para acceder al centro. Descubrieron que el centro inteligente utiliza un sistema de autenticación "pass-the-hash", que no requiere conocer la contraseña de texto sin formato del usuario, solo la versión codificada. Al tomar la contraseña codificada y pasarla al centro inteligente, los investigadores pudieron engañar al dispositivo para que pensara que eran los propietarios.

Todo lo que un atacante tenía que hacer era enviar una orden para decirle a la cerradura que se abriera o cerrara. Con solo unas pocas líneas de código, los investigadores crearon un script que bloqueaba y desbloqueaba un bloqueo inteligente conectado a un centro inteligente vulnerable.

Peor aún, Dardaman dijo que cualquier edificio de apartamentos que registrara una cuenta principal para todos los apartamentos en su edificio les permitiría "abrir cualquier puerta" desde el mismo hash de contraseña.

Los investigadores reconocieron que sus hallazgos no eran una llave maestra perfecta para los hogares de todos. Para explotar las fallas, un atacante necesitaría estar en la misma red Wi-Fi que el vulnerable hub inteligente. Dardaman dijo que cualquier centro conectado directamente a Internet sería explotable de forma remota. Los investigadores encontraron cinco dispositivos vulnerables con Shodan, un motor de búsqueda de dispositivos y bases de datos disponibles al público.

Zipato dice que tiene 112,000 dispositivos en 20,000 hogares, pero no se conoce el número exacto de centros vulnerables.

Fuente: TechCrunch.

Author: Duván Chaverra

OTRAS NOTICIAS

article thumbnailSeco-Larm El nuevo lector de huellas digitales con teclado SK-2612-SFSQ cuenta con lector de huellas dactilares 500DPI, que admite hasta 3.000...
article thumbnailSorhea Las columnas independientes Solaris forman un muro de detección inmaterial con una barrera infrarroja que integra un transmisor / receptor de...
article thumbnailInternacional. Investigadores del Instituto de Investigación de Electrónica y Telecomunicaciones (ETRI) en Corea del Sur afirman haber descubierto cómo...
article thumbnailColombia. La Terminal del Aeropuerto Internacional Alfonso Bonilla Aragón, ubicado en Palmira, cerca a Cali, cuenta con la tecnología de un sistema...
article thumbnailInternacional. Se espera que el gasto en seguridad en la nube en los EE.UU. alcance los US$1,93 mil millones para 2021, según...
article thumbnailInternacional. Milestone lanza una nueva herramienta interactiva que le permite a los sistemas de videovigilancia a través de IP ser mucho más...
article thumbnailEstados Unidos. Una denuncia penal en un tribunal federal de Brooklyn acusó a una compañía de equipos de vigilancia y seguridad con sede en Nueva...
article thumbnailInternacional. Mobotix lanzó su nueva plataforma de solución abierta Mobotix 7 y la cámara de alta gama M73 que utiliza esta plataforma.
article thumbnailColombia. Según la Fiscalía General de la Nación, durante el 2018 se reportaron más de 20.000 denuncias por delitos informáticos en Colombia. Los ataques...
article thumbnailMéxico. En el marco del Simposio de Seguridad 2019 organizado por la Asociación Nacional de Tiendas de Autoservicio y Departamentales, Genetec...