Los errores de software en los videoporteros de IoT pueden proporcionar acceso y control no autorizados. Los desarrolladores, fabricantes y proveedores de plataformas comparten una obligación de seguridad común.
Los piratas informáticos pueden secuestrar los timbres de video de bricolaje, como los que usan las PYMES siempre activas. Los errores en el desarrollo de los sistemas IoT tienen consecuencias inesperadas. Los sistemas atacados pueden violar la privacidad que se supone deben proteger. Solo la cooperación de expertos en seguridad, desarrolladores de plataformas y fabricantes de productos asegura los intercomunicadores digitales.
Videoporteros basados en la nube
Los usuarios hablan con los visitantes en la puerta a través de intercomunicadores de video basados en la nube, como LifeShield. También puede confiar en las imágenes en vivo desde casa que están disponibles en todas partes cuando no está. Sin embargo, estas ofertas de IoT también son un objetivo potencial para los ciberdelincuentes. ADT parcheó recientemente 1.500 dispositivos para cerrar las brechas de seguridad en sus sistemas LifeShield, según los expertos en seguridad de Bitdefender. Esto muestra los peligros actuales de tales dispositivos IoT, cuya seguridad a menudo todavía deja mucho que desear.
Riesgos divulgados en los sistemas IoT
Revelar la contraseña de administrador de la cámara
La campana se identificó en el servidor central por su dirección MAC. La plataforma en la nube utilizó un procedimiento básico para autenticar el timbre. El nombre de usuario era inicialmente "camera0" y la contraseña se les daba a los usuarios cuando configuraban el dispositivo. En la fase de configuración, el servidor aceptaba y respondía a los mensajes asociados. Ignoró el encabezado de autorización porque no se asignó ninguna contraseña. Pero incluso después de que se completó la configuración y se creó el código de acceso, el servidor inicialmente continuó respondiendo a las solicitudes con datos de acceso incorrectos y, por lo tanto, reveló los últimos datos de acceso conocidos para el dispositivo: en última instancia, los piratas informáticos solo pudieron usar el MAC de la cámara. dirección para crear la contraseña de administrador para esta experiencia de timbre.
Adquisición hostil de la web
Un videoportero inteligente basado en la nube es una interfaz para Internet. Algunas de las funciones del servidor web, como tomar una instantánea o buscar información, no requerían autenticación. La interfaz de administrador estaba protegida por una contraseña, pero esto se podía averiguar como se describe en el párrafo anterior. Con estas credenciales y a través de la interfaz, los piratas informáticos podrían emitir comandos y obtener acceso a nivel raíz mediante la inyección de comandos.
Abrir servidores RTSP
La cámara del timbre transmite las imágenes a un servidor de Protocolo de transmisión en tiempo real (RTSP) a través del puerto 554. Esta ruta no estaba protegida por ninguna forma de autenticación. Esto permitió a los forasteros reproducir transmisiones de audio y video con cualquier reproductor multimedia compatible.
Tales ataques son particularmente peligrosos en propiedades con muchas partes, como pequeñas tiendas o edificios con pisos compartidos, muchos propietarios u oficinas compartidas. Aquí, otros participantes en la misma red inalámbrica y dentro del alcance de los sistemas afectados podrían escuchar las conversaciones.
Factor de riesgo Hogar inteligente IoT
Otras vulnerabilidades solucionadas demuestran amenazas típicas de IoT en edificios inteligentes:
- Ya se esperaba una actualización de seguridad para las cámaras Ring Doorbell Pro de Amazon en 2019 porque la verificación de identidad en un punto de acceso se llevó a cabo a través de HTTP sin cifrar. Los piratas informáticos al alcance podrían haber espiado los datos de acceso.
- En 2020, los expertos de August Smart Lock Pro encontraron vulnerabilidades en las cerraduras de puertas inteligentes. Habilitó el robo de una contraseña WiFi con todas las posibilidades asociadas, como acceder al almacenamiento, espiar, robar contraseñas y datos o información personal con fines fraudulentos.
- Las luces controladas por la nube o las funciones automáticas en los edificios inteligentes plantearon otro riesgo para los propietarios de viviendas, ya que los piratas informáticos tuvieron la oportunidad de controlar el proceso de actualización del firmware para enchufes inteligentes, portalámparas e interruptores de pared a través de la plataforma eWeLink e inyectar actualizaciones maliciosas. Una vez más, el responsable fue un proceso de autenticación diseñado incorrectamente para los conmutadores por parte del servidor. Al final, todo lo que necesitaba el hacker era un número de identificación válido, que los atacantes podían ingresar usando cualquier teléfono inteligente.
Tales errores en el desarrollo son comunes en el mundo de IoT no estándar. Los expertos en seguridad contactan a los fabricantes en una etapa temprana, pero a menudo solo después de un tiempo y, a veces, nunca, a diferencia de los casos presentados aquí.
En principio, cualquier objeto conectado a Internet puede ser pirateado. Por lo tanto, los usuarios deben monitorear estrictamente los dispositivos IoT y aislarlos de las redes locales o de invitados en la medida de lo posible, por ejemplo, utilizando un SSID dedicado solo para el hardware IoT. Los fabricantes aumentan la seguridad actualizando automáticamente sus sistemas. Los usuarios también deberían valorar esto. Además, los servicios y software de seguridad de TI también deben escanear dispositivos IoT. Los enrutadores modernos pueden proteger las redes privadas, incluido el hardware de IoT.
Varios libros blancos e informes técnicos y documentación están disponibles en línea:
- Vulnerabilidad de LifeShield (PDF)
- Información sobre eWeLink (PDF)
- Vulnerabilidades de Ring Doorbell Pro (PDF)
- Vulnerabilidades de August Smart Lock Pro
Más información en Bitdefender.com
Acerca de Bitdefender Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de