Una nueva investigación encuentra vulnerabilidades de día cero en los sistemas domésticos inteligentes de Amazon más vendidos

Tripwire, Inc., un proveedor global líder de soluciones avanzadas de gestión de amenazas, seguridad y cumplimiento, anunció hoy los resultados de una evaluación de seguridad exhaustiva de los tres productos de centros de automatización del hogar inteligentes más vendidos disponibles en Amazon. La investigación descubrió fallas de día cero en cada centro que podrían permitir a los piratas informáticos tomar el control de las funcionalidades del hogar inteligente.
Los concentradores domésticos inteligentes se utilizan para controlar la iluminación, la calefacción, las cerraduras y las cámaras en los hogares de las personas. Para comprender los riesgos asociados con los centros de hogares inteligentes, el equipo de investigación de vulnerabilidad y exposición de Tripwire (VERT) analizó tres de los sistemas domésticos inteligentes más vendidos en Amazon. Los investigadores de seguridad de Tripwire encontraron fallas de día cero en cada uno de los dispositivos que, si se explotan con éxito, permitirían a los piratas informáticos:

• Identifique cuándo las personas están fuera de su hogar.
• Cambiar la configuración de la alarma.
• Abrir cerraduras sin autorización.
• Acceda a las redes de área local.
• Utilice concentradores inteligentes para fines DDoS.

“Los centros de hogares inteligentes están creciendo constantemente en popularidad; sin embargo, como ocurre con muchos productos de tecnología de consumo, la funcionalidad ha superado a la seguridad ”, dijo Craig Young, investigador de seguridad de Tripwire. “Los centros de hogares inteligentes permiten a los usuarios tener control sobre los dispositivos conectados en su casa, pero también abren nuevas puertas para los delincuentes. La amenaza es relativamente baja por ahora, pero aumentará a medida que los actores malintencionados reconozcan cuánta información se puede obtener atacando estos dispositivos «.
“Estos dispositivos también se pueden usar como una puerta de entrada para infligir daño físico a una casa e, irónicamente, en realidad hacen que las casas sean menos seguras”, dijo Lamar Bailey, director de investigación y desarrollo de Tripwire. “Por ejemplo, muchos de estos dispositivos interactúan con los controles de calefacción, ventilación y aire acondicionado. Un atacante podría apagar la calefacción en una noche helada mientras una familia duerme o, peor aún, cuando la familia está fuera el fin de semana, provocando que las tuberías se congelen y estallen ”.
Actualmente, dos de los tres proveedores han reparado estas fallas reportadas; sin embargo, el sistema de casa inteligente de un proveedor sigue en riesgo. Si no se corrige, algunas de las vulnerabilidades reveladas en el análisis de VERT podrían explotarse a través de páginas web maliciosas o aplicaciones de teléfonos inteligentes y ejecutar comandos con acceso a nivel de sistema.
“Los concentradores domésticos inteligentes que son vulnerables a la ejecución remota de código podrían permitir a los atacantes migrar desde una computadora violada al concentrador, ocultándose efectivamente en la red”, dijo Tyler Reguly, gerente de investigación de seguridad de Tripwire. “Además, una falsificación de solicitud entre sitios podría permitir a los actores malintencionados manipular la configuración del dispositivo cada vez que el consumidor navega por la web o abre un correo electrónico. Los riesgos son reales y los puntos de entrada son numerosos. Los proveedores deben reconocer las vulnerabilidades y publicar actualizaciones de forma regular, y los consumidores deben darse cuenta de los riesgos y aplicar las actualizaciones emitidas por los proveedores «.