Eliminan vulnerabilidades críticas en un dispositivo IoT
Kaspersky ha identificado varias vulnerabilidades críticas en el dispositivo de control de un ecosistema activo de hogar inteligente.
Entre las vulnerabilidades identificadas se incluyen errores en la infraestructura cloud y la posible ejecución remota de código que permitiría a un tercero obtener acceso de «superusuario» al controlador y manipular a su antojo la infraestructura del hogar inteligente. Los hallazgos han sido compartidos con el proveedor, Fibaro, que inmediatamente se hizo cargo y actualizó los protocolos de seguridad.
¿Cómo se realizó el experimento?
La fase inicial de investigación y búsqueda de información llevó a los expertos a identificar varios vectores de ataque potenciales: a través del protocolo de comunicaciones inalámbricas Z-Wave, ampliamente utilizado para la automatización del hogar; a través de la interfaz web del panel de administración; y a través de la infraestructura cloud. Este último vector resultó ser el más efectivo para el ataque: un examen de los métodos utilizados para procesar las solicitudes del dispositivo reveló una vulnerabilidad en el proceso de autorización y la posibilidad de ejecución remota de código.
Combinados, un tercero podría obtener acceso a todas las copias de seguridad que se han subido a la nube desde los dispositivos Fibaro Home Center Lite, subir las infectadas a la nube y luego descargarlas a un controlador en particular, pese a no tener derechos sobre el sistema.
Para completar el experimento, los expertos de Kaspersky llevaron a cabo un ataque de prueba sobre el controlador. Para ello, prepararon una copia de seguridad específica con un script desarrollado por separado y protegido con una contraseña. A continuación, enviaron un correo electrónico y un SMS al propietario del dispositivo a través de la nube, instándole a actualizar el firmware del controlador. La `víctima’ aceptó y descargó la copia de seguridad infectada. Esto permitió a los investigadores obtener derechos de superusuario sobre el controlador del hogar inteligente, permitiéndoles manipular el ecosistema conectado. Para demostrar el éxito de su intrusión en el sistema, los investigadores cambiaron la melodía del despertador – al día siguiente, el empleado de Kaspersky se despertó con música electrónica (drum & bass).
«A diferencia de lo que hicimos nosotros, un verdadero atacante con acceso al controlador del hogar probablemente no se limitaría a una broma con un despertador. Una de las principales tareas del dispositivo que hemos estudiado es la integración de todas las «cosas inteligentes» para que el propietario de la casa pueda gestionarlas desde un único sitio. Un detalle importante es que nuestra evaluación se centró en un sistema desplegado activamente; anteriormente, la mayor parte de la investigación se realizaba en condiciones de laboratorio. La investigación ha demostrado que, a pesar de la creciente concienciación sobre la seguridad de Internet de las Cosas, todavía quedan cuestiones por resolver. Y lo que es aún más importante, los dispositivos que hemos estudiado se fabrican en serie y se despliegan en redes domésticas inteligentes en funcionamiento. Agradecemos a Fibaro su actitud responsable hacia este tema, ya que sabemos que están enfocados en la ciberseguridad, haciendo que el hogar de nuestro compañero sea mucho más seguro de lo que era antes de la investigación», dijo Pavel Cheremushkin, investigador de seguridad en Kaspersky ICS CERT.
«La infraestructura de Internet de las Cosas requiere un sistema complejo que funcione con fluidez en numerosas capas. Implica mucho trabajo de implementación y arquitectura. Agradecemos la investigación y el esfuerzo de Kaspersky. Nos ayudó a trabajar en la seguridad de nuestros productos y servicios. Juntos eliminamos las posibles vulnerabilidades. Recomendamos encarecidamente que los usuarios de Fibaro instalen actualizaciones y que siempre comprueben si los correos electrónicos que reciben son coherentes con lo anunciado en nuestra página web. Las actualizaciones mejoran la funcionalidad del sistema y dificultan el robo de datos privados por parte de los hackers«, afirma Krzysztof Banasiak, CPO de Fibaro.
Recomendaciones de Kaspersky para mantener los dispositivos seguros
- A la hora de decidir qué parte de su vida quiere que sea un poco más inteligente, tenga siempre en cuenta los riesgos de seguridad.
- Antes de comprar un dispositivo de Internet de las Cosas busque en la red noticias sobre posibles vulnerabilidades.
- Junto con los errores habituales de los nuevos productos, los dispositivos que han sido lanzados recientemente pueden tener problemas de seguridad que aún no han sido descubiertos por los investigadores. Con esto en mente, la mejor opción es comprar productos que ya hayan experimentado varias actualizaciones de software en lugar de aquellos que acaban de salir al mercado.
- Asegúrese de que todos sus dispositivos cuentan con las últimas actualizaciones de seguridad y firmware.
