OhMyGeek!
Hardware Seguridad

Falla de seguridad permitió desbloquear las puertas con cerraduras inteligentes

por OhMyGeek!

El desarrollo de la Internet de las Cosas (IoT) aún se encuentra en verde, y situaciones de seguridad como las que le pasó a la compañí­a “Zipato” son un claro ejemplo. Esta empresa croata permitió, a través de un agujero de seguridad, que un atacan pudiese abrir sus cerraduras inteligentes

Esta vulnerabilidad crí­tica en dispositivos IoT fue alertada por ESET, pero descubierta por los ingenieros Charles Dardaman y Jason Wheeler. Incluso publicando una explicación detallada de la falla, además de un video ejemplificador.

Según lo explicado, dos de las tres vulnerabilidades on de diseño e implementación de los mecanismos de autenticación de la API de la central inteligente, mientras que la tercera se trata de una vulnerabilidad en la llave privada SSH para “root”. Esta es única, pero puede ser extraí­da de la tarjeta de memoria ubicada en el dispositivo entregando el nivel máximo de acceso a un tercero.

En este sentido, cualquiera que tenga la llave privada puede acceder al dispositivo sin necesidad de tener que crackear la contraseña.

Falla de seguridad permitió desbloquear las puertas con cerraduras inteligentes.

Cerraduras inteligentes que no lo son tanto

Esta llave privada permitió que Dardaman y Wheeler descargaran del dispositivo un archivo .json que contení­a una contraseña hasheada, la cual utilizaron para acceder a la API mediante el uso de la técnica pass the hash.

De esta manera, los investigadores lograron engañar al dispositivo y hacerle creer que eran los propietarios del equipo al obtener la contraseña ‘hasheada’ e ingresarla en el smart hub. Una vez hecho esto, demostraron que mediante un comando un atacante podrí­a enviar una solicitud a una central inteligente vulnerable para desbloquear y bloquear una puerta.

Lee:  «Bizarro»: el malware brasileño que le está sacando canas verdes a los bancos

Es importante destacar que para explotar los fallos un atacante necesitarí­a estar conectado a la misma red Wi-Fi que la central inteligente vulnerable y el investigador aseguró que cualquier central inteligente conectada directamente a Internet podrí­a explotarse de manera remota.

Los resultados de la investigación fueron publicados ahora pero el hallazgo data de febrero de 2019. Los detalles de la investigación se hicieron públicos una vez que la compañí­a Zipato reparó los fallos de seguridad en marzo de este año.

Te interesará ver

«Bizarro»: el malware brasileño que le está sacando canas verdes a los bancos

OhMyGeek!

«Judas y el mesías negro» es la película más usada para distribuir malware previo a los Oscar

OhMyGeek!

Descubren malware publicitario en la App de la tienda APKPure

OhMyGeek!

Falsa versión de Clubhouse robó acceso de otras 450 Apps

OhMyGeek!

¿Cómo mantener seguro tu canal de YouTube según Google?

OhMyGeek!

iPadOS y iOS 14.4: actualicen inmediatamente porque hay 3 fallas que hackers estarí­an aprovechando

OhMyGeek!

Deja un comentario

Recuerda mis datos en este navegador para la próxima vez que quiera comentar.

2 min
También compártelo en:
También compártelo en:
Send this to a friend