Kaspersky Lab descubre múltiples vulnerabilidades en los dispositivos domésticos conectados
David Jacoby, analista de seguridad de Kaspersky Lab, ha realizado una investigación experimental en su casa para comprobar su nivel de ciberseguridad. Inspeccionando varios dispositivos, Jacoby comprobó cómo, entre otros, una Smart TV, un NAS (servidor de acceso a la red), un router y un reproductor de Blu-ray eran vulnerables a un ciberataque. En su experimento, Jacoby encontró en total 14 vulnerabilidades en los sistemas de almacenamiento, una vulnerabilidad en la Smart TV y varias funciones ocultas con control remoto en el router.
Siguiendo la política de responsabilidad de la compañía, Kaspersky Lab no hará públicos los nombres de los fabricantes de los productos que han sido analizados hasta que exista un parche de seguridad que elimine esas vulnerabilidades. Todos los fabricantes han sido informados sobre la existencia de dichas vulnerabilidades y los expertos de Kaspersky Lab trabajan codo con codo con ellos para poder eliminar todas las que detecten.
Ejecución de código remoto y contraseñas débiles. Las vulnerabilidades más graves se detectaron en los sistemas de almacenamiento. Algunos permiten a los hackers ejecutar de forma remota comandos del sistema con amplios privilegios de administrador. Los aparatos analizados también contaban con contraseñas débiles, muchos de los documentos de configuración tenían los permisos erróneos y contraseñas muy sencillas. En concreto, la contraseña de administrador de uno de los dispositivos sólo tenía un dígito. Otro de los dispositivos analizados compartía el archivo de configuración completa con las contraseñas cifradas con cualquier persona conectada a la red.
Aprovechando una vulnerabilidad aislada, el experto de Kaspersky Lab pudo subir un archivo a una zona de almacenamiento inaccesible para un usuario a nivel doméstico. Si este archivo hubiese sido malicioso, se habría convertido en una fuente de infección para el resto de dispositivos conectados a ese NAS- un PC, por ejemplo- e incluso podría servir como una bot DDoS en una botnet. La vulnerabilidad permitía subir archivos a una zona especial del sistema de almacenamiento del dispositivo y la única forma de borrarlo era utilizando esa misma vulnerabilidad.
Man-in-the-Middle a través de Smart TV. Mientras investigaba el nivel de seguridad de la Smart TV, se descubrió que no existe cifrado en las comunicaciones entre la televisión y los servidores de los fabricantes. Este hecho abre las puertas a posibles ataques Man-in-the-Middle que podrían derivar en el robo de transferencias de dinero que el usuario suele hacer al comprar contenidos a través de su televisor. Como prueba, Jacoby pudo reemplazar un icono de la interfaz de la Smart TV con una foto. Normalmente los widgets y los thumbnails se descargan del servidor del fabricante y puesto que no existe cifrado alguno, un tercero podría modificarlos. El analista también pudo ver que la Smart TV ejecuta códigos Java que, combinados con la posibilidad de interceptor el tráfico entre la TV e Internet, podría llevar a ataques maliciosos dirigidos por un exploit.
Funciones de espionaje ocultas en un router. El router DSL que ofrece conexión inalámbrica a Internet para todos los dispositivos de la casa contenía funcionalidades peligrosas y ocultas. Según Jacoby, algunas de éstas podían facilitar el acceso remoto a cualquier dispositivo de la red privada del usuario a través de la ISP (Internet Service Provider). Es más, los resultados de la investigación arrojan datos como que las secciones de la interfaz web del router “cámaras web”, “control de acceso”, “sensor WAN” y “actualización” son invisibles y el dueño del dispositivo no puede configurarlos. Sólo sería posible acceder a ellos a través del exploit de una vulnerabilidad genérica que haría posible navegar por las secciones de la interfaz (básicamente páginas web, cada una con su dirección alfanumérica) forzando las cifras que aparecen al final de la dirección web.
Estas funciones se implementaron originalmente para la comodidad del usuario del dispositivo ya que la opción de acceso remoto facilita y agiliza la ISP en la resolución de problemas técnicos, pero esta ventaja podría convertirse en riesgo si ese control cae en las manos equivocadas.
“Tanto los usuarios como las empresas tienen que concienciarse de los riesgos que tienen los dispositivos conectados. Es importante tener presente que nuestra información no está segura simplemente porque contemos con una contraseña fuerte, hay muchas cosas que escapan a nuestro control. Empleé menos de 20 minutos en encontrar y verificar vulnerabilidades muy serias en un dispositivo aparentemente seguro, que incluso alude a la seguridad en su nombre. ¿Cuáles serían las conclusiones de esta investigación si se aplicara a gran escala? Esta es sólo una de las preguntas que deben hacerse fabricantes, el sector de la seguridad y los usuarios para poder trabajar conjuntamente en un futuro próximo”, explica David Jacoby, autor de la investigación.
[smartads]
Cómo estar seguro en el mundo de los dispositivos conectados
- Complícale la vida al hacker: para minimizar los riesgos y evitar que aprovechen vulnerabilidades conocidas, actualiza todos tus dispositivos con la última versión de seguridad disponible.
- Asegúrate de cambiar el nombre de usuario y la contraseña que vienen por defecto, es lo primero que un cibercriminal intentará al atacar tu dispositivo.
- La mayoría de los routers domésticos tienen la opción de configurar una red propia para cada dispositivo y restringir el acceso a éste (con la ayuda de diferentes DMZs/VLANs). Por ejemplo, si tienes una televisión conectada, quizá quieras limitar el acceso a un único dispositivo adicional conectado de tu red…¡No hay motivo para que tu TV esté conectada a tu impresora!