Fallo de seguridad en dispositivo para hogares inteligentes permite desbloquear puertas

Una investigación publicada esta semana reveló la existencia de una serie de vulnerabilidades críticas en dispositivos IoT de la marca Zipato, utilizados como parte de una central inteligente (smart hub) para controlar los dispositivos IoT utilizados en el hogar. En caso de ser explotados permitirían a un atacante abrir la puerta principal de un domicilio que utilice una cerradura inteligente.

Los problemas de seguridad en dispositivos IoT no son nuevos. “Aún estamos lejos de contar con estándares de seguridad para IoT y la realidad indica que, si bien la usabilidad y facilidad que los dispositivos inteligentes ofrecen al usuario están muy bien valoradas, también pueden representar una puerta abierta para el ingreso de amenazas”, explicó el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez, en Tendencias 2019.

En sintonía con esta realidad, a principios de 2018 investigadores de ESET publicaron un whitepaper con los resultados de un análisis de doce dispositivos IoT disponibles en el mercado y cada uno presentó algún problema desde el punto de vista de la privacidad, además de otros fallos de seguridad.

La adopción de dispositivos inteligentes para el hogar continúa creciendo, al igual que las preocupaciones en materia de seguridad; por lo que los usuarios deberán aprender a evaluar los aspectos de seguridad de un equipo antes de decidir comprarlo.

Sobre la vulnerabilidad en centrales inteligentes (Smart Hubs)

El descubrimiento de estas vulnerabilidades es obra de los investigadores Charles Dardaman y Jason Wheeler. Dos de las tres vulnerabilidades descubiertas son de diseño e implementación de los mecanismos de autenticación de la API de la central inteligente, mientras que la tercera se trata de una vulnerabilidad en la llave privada SSH para ROOT, que según explican en una publicación realizada esta semana es única, y permite que pueda ser extraída de la tarjeta de memoria ubicada en el dispositivo. Esta llave extraíble es ni más ni menos que el acceso a la cuenta del usuario con máximo nivel de acceso. En este sentido, cualquiera que tenga acceso a la llave privada puede acceder al dispositivo sin necesidad de tener que crackear la contraseña.

Mediante el uso de la llave privada, los investigadores descargaron del dispositivo un archivo .json que contenía una contraseña hasheada, la cual utilizaron para acceder a la API mediante el uso de la técnica pass the hash. Esto gracias a que descubrieron que la central inteligente (smart hub) no requería saber la contraseña en texto plano: era suficiente con la contraseña hasheada. De esta manera, los investigadores lograron engañar al dispositivo y hacerle creer que eran los propietarios del equipo al obtener la contraseña hasheada e ingresarla en el smart hub.

Una vez hecho esto, demostraron que mediante un comando un atacante podría enviar una solicitud a una central inteligente vulnerable para desbloquear y bloquear una puerta. Además, elaboraron un script como parte de una prueba de concepto.

Uno de los investigadores aseguró a TechCrunch que cualquier apartamento que tenga registrada una cuenta principal para el resto de los apartamentos del edificio les permitiría abrir todas las puertas. Además, Dardaman explicó al medio que para explotar los fallos un atacante necesitaría estar conectado a la misma red Wi-Fi que la central inteligente vulnerable. Por si fuera poco, el investigador aseguró que cualquier central inteligente conectada directamente a Internet podría explotarse de manera remota.

Tiempo después, los investigadores se dieron cuenta que las llaves privadas SSH estaban hardcodeadas en cada uno de los equipos utilizados para controlar los dispositivos IoT del hogar en manos de los clientes, lo cual exponía a los usuarios de los mismos a un riesgo.

Los resultados de la investigación fueron publicados ahora, pero el hallazgo data de febrero de 2019. Hicieron público los detalles de la investigación una vez que la compañía Zipato reparó los fallos de seguridad en marzo de este año.

Según dijo el jefe ejecutivo de Zipato al medio, la nueva cada central inteligente viene con una llave privada SSH única, así como otras mejoras de seguridad que fueron añadidas. Además, la compañía comentó que ha descontinuado la central Inteligente ZipaMicro en sustitución por un producto más nuevo.

 Quizás te interese:

• 10 principales fallos de seguridad de los dispositivos IoT
• Edificios inteligentes: infraestructura en el blanco de los cibercriminales
• Cómo analizar dispositivos IoT: vulnerabilidades más comunes y cómo encontrarlas
• Legislar la seguridad de los dispositivos IoT: ¿es realmente la solución?