Timbres de video IoT inseguros

22. Febrero 2021
| No hay comentarios

Compartir publicación

Los errores de software en los videoporteros de IoT pueden proporcionar acceso y control no autorizados. Los desarrolladores, fabricantes y proveedores de plataformas comparten una obligación de seguridad común. 

Los piratas informáticos pueden secuestrar los timbres de video de bricolaje, como los que usan las PYMES siempre activas. Los errores en el desarrollo de los sistemas IoT tienen consecuencias inesperadas. Los sistemas atacados pueden violar la privacidad que se supone deben proteger. Solo la cooperación de expertos en seguridad, desarrolladores de plataformas y fabricantes de productos asegura los intercomunicadores digitales.

Videoporteros basados ​​en la nube

Los usuarios hablan con los visitantes en la puerta a través de intercomunicadores de video basados ​​en la nube, como LifeShield. También puede confiar en las imágenes en vivo desde casa que están disponibles en todas partes cuando no está. Sin embargo, estas ofertas de IoT también son un objetivo potencial para los ciberdelincuentes. ADT parcheó recientemente 1.500 dispositivos para cerrar las brechas de seguridad en sus sistemas LifeShield, según los expertos en seguridad de Bitdefender. Esto muestra los peligros actuales de tales dispositivos IoT, cuya seguridad a menudo todavía deja mucho que desear.

Riesgos divulgados en los sistemas IoT

Revelar la contraseña de administrador de la cámara

La campana se identificó en el servidor central por su dirección MAC. La plataforma en la nube utilizó un procedimiento básico para autenticar el timbre. El nombre de usuario era inicialmente "camera0" y la contraseña se les daba a los usuarios cuando configuraban el dispositivo. En la fase de configuración, el servidor aceptaba y respondía a los mensajes asociados. Ignoró el encabezado de autorización porque no se asignó ninguna contraseña. Pero incluso después de que se completó la configuración y se creó el código de acceso, el servidor inicialmente continuó respondiendo a las solicitudes con datos de acceso incorrectos y, por lo tanto, reveló los últimos datos de acceso conocidos para el dispositivo: en última instancia, los piratas informáticos solo pudieron usar el MAC de la cámara. dirección para crear la contraseña de administrador para esta experiencia de timbre.

Adquisición hostil de la web

Bogdan Botezatu, responsable de análisis de amenazas de Bitdefender

Bogdan Botezatu, responsable de análisis de amenazas de Bitdefender

Un videoportero inteligente basado en la nube es una interfaz para Internet. Algunas de las funciones del servidor web, como tomar una instantánea o buscar información, no requerían autenticación. La interfaz de administrador estaba protegida por una contraseña, pero esto se podía averiguar como se describe en el párrafo anterior. Con estas credenciales y a través de la interfaz, los piratas informáticos podrían emitir comandos y obtener acceso a nivel raíz mediante la inyección de comandos.

Abrir servidores RTSP

La cámara del timbre transmite las imágenes a un servidor de Protocolo de transmisión en tiempo real (RTSP) a través del puerto 554. Esta ruta no estaba protegida por ninguna forma de autenticación. Esto permitió a los forasteros reproducir transmisiones de audio y video con cualquier reproductor multimedia compatible.

Tales ataques son particularmente peligrosos en propiedades con muchas partes, como pequeñas tiendas o edificios con pisos compartidos, muchos propietarios u oficinas compartidas. Aquí, otros participantes en la misma red inalámbrica y dentro del alcance de los sistemas afectados podrían escuchar las conversaciones.

Factor de riesgo Hogar inteligente IoT

Otras vulnerabilidades solucionadas demuestran amenazas típicas de IoT en edificios inteligentes:

  • Ya se esperaba una actualización de seguridad para las cámaras Ring Doorbell Pro de Amazon en 2019 porque la verificación de identidad en un punto de acceso se llevó a cabo a través de HTTP sin cifrar. Los piratas informáticos al alcance podrían haber espiado los datos de acceso.
  • En 2020, los expertos de August Smart Lock Pro encontraron vulnerabilidades en las cerraduras de puertas inteligentes. Habilitó el robo de una contraseña WiFi con todas las posibilidades asociadas, como acceder al almacenamiento, espiar, robar contraseñas y datos o información personal con fines fraudulentos.
  • Las luces controladas por la nube o las funciones automáticas en los edificios inteligentes plantearon otro riesgo para los propietarios de viviendas, ya que los piratas informáticos tuvieron la oportunidad de controlar el proceso de actualización del firmware para enchufes inteligentes, portalámparas e interruptores de pared a través de la plataforma eWeLink e inyectar actualizaciones maliciosas. Una vez más, el responsable fue un proceso de autenticación diseñado incorrectamente para los conmutadores por parte del servidor. Al final, todo lo que necesitaba el hacker era un número de identificación válido, que los atacantes podían ingresar usando cualquier teléfono inteligente.

Tales errores en el desarrollo son comunes en el mundo de IoT no estándar. Los expertos en seguridad contactan a los fabricantes en una etapa temprana, pero a menudo solo después de un tiempo y, a veces, nunca, a diferencia de los casos presentados aquí.

En principio, cualquier objeto conectado a Internet puede ser pirateado. Por lo tanto, los usuarios deben monitorear estrictamente los dispositivos IoT y aislarlos de las redes locales o de invitados en la medida de lo posible, por ejemplo, utilizando un SSID dedicado solo para el hardware IoT. Los fabricantes aumentan la seguridad actualizando automáticamente sus sistemas. Los usuarios también deberían valorar esto. Además, los servicios y software de seguridad de TI también deben escanear dispositivos IoT. Los enrutadores modernos pueden proteger las redes privadas, incluido el hardware de IoT.

Varios libros blancos e informes técnicos y documentación están disponibles en línea:

 

Más información en Bitdefender.com

 

Acerca de Bitdefender

Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

Seguridad digital: los consumidores son los que más confían en los bancos

Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más

Bolsa de trabajo en la Darknet: los piratas informáticos buscan información privilegiada renegada

La Darknet no es sólo un intercambio de bienes ilegales, sino también un lugar donde los hackers buscan nuevos cómplices. ➡ Leer más

Sistemas de energía solar: ¿qué tan seguros son?

Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras. tendencia ➡ Leer más

Nueva ola de phishing: los atacantes utilizan Adobe InDesign

Actualmente hay un aumento de los ataques de phishing que abusan de Adobe InDesign, un sistema de publicación de documentos conocido y confiable. ➡ Leer más

Bitdefender, Stories