Las aplicaciones para dispositivos domésticos inteligentes populares contienen fallas de seguridad

Una nueva investigación de seguridad cibernética de Florida Tech ha encontrado que las aplicaciones complementarias de los teléfonos inteligentes de 16 dispositivos domésticos inteligentes populares contienen «fallas criptográficas críticas» que podrían permitir a los atacantes interceptar y modificar su tráfico.

A medida que los dispositivos de Internet de las cosas (IoT) como cerraduras conectadas, sensores de movimiento, cámaras de seguridad y altavoces inteligentes se vuelven cada vez más omnipresentes en los hogares de todo el país, su creciente popularidad significa que más personas corren el riesgo de sufrir intrusiones cibernéticas.

«Los dispositivos de IoT ofrecen la promesa de seguridad con cerraduras conectadas, alarmas y cámaras de seguridad», escribieron el profesor asistente de ciencias e ingeniería informática TJ O’Connor y los estudiantes Dylan Jessee y Daniel Campos en su artículo, Through the Spyglass: Toward IOT Companion App Man Ataques en el medio. «Sin embargo, los atacantes pueden aprovechar la naturaleza inmadura pero omnipresente de IoT para espiar y vigilar a las víctimas».

O’Connor lidera el programa de ciberseguridad de Florida Tech y dirige el Laboratorio de Seguridad y Privacidad de IoT (en la foto de arriba), que ha producido una investigación reveladora sobre las fallas de privacidad en las cámaras conectadas a Internet. Este verano fue nombrado entrenador en jefe del equipo inaugural de los Cyber ​​Games de EE. UU.

La investigación que realizan O’Connor y sus estudiantes a menudo destaca las preocupantes vulnerabilidades de los dispositivos de IoT de los consumidores, y su último artículo continúa ese enfoque.

Al someter 20 dispositivos a una serie de ataques de «intermediario» en los que los perpetradores buscan interceptar las comunicaciones entre las partes, lo que permite el robo de credenciales de inicio de sesión, el espionaje u otras actividades nefastas, los investigadores encontraron que 16 proveedores de dispositivos no implementaron medidas de seguridad, posibilitando así los ataques.

«Presumimos que la arquitectura de comunicaciones distribuidas de IoT introduce vulnerabilidades que permiten a un atacante interceptar y manipular el canal de comunicaciones, lo que afecta la percepción a nivel de usuario de un dispositivo de IoT», escribieron. «Aplicamos este (ataque) contra una amplia gama de proveedores de dispositivos domésticos inteligentes para ocultar a los usuarios malintencionados, suprimir los informes de movimiento, modificar las imágenes de la cámara, desbloquear las puertas y manipular los archivos de registro del historial».

Los dispositivos de IoT que mostraron esta vulnerabilidad fueron: Amazon Echo, bloqueo de agosto, cámara Blink, cámara Google Home, luces Hue, bloqueo Lockly, cámara Momentum, cámara Nest, timbre NightOwl, Roku TV, bloqueo Schlage, bloqueo Sifely, alarma SimpliSafe, SmartThings bloqueo, bloqueo UltraLoq y cámara Wyze.

Se descubrió que los dispositivos de cuatro proveedores, Arlo, Geeni, TP-Link y Ring, no eran susceptibles a los ataques que llevaron a cabo los investigadores.

«Si bien nuestro trabajo descubre fallas generalizadas, los proveedores pueden tomar medidas para mejorar la confidencialidad y la integridad en los dispositivos domésticos inteligentes y sus aplicaciones», escribieron los investigadores.

Los investigadores revelaron las vulnerabilidades a los proveedores afectados y a Apple antes del lanzamiento de su trabajo. Como destacaron los investigadores en su artículo, los proveedores deben implementar implementaciones criptográficas del lado del servidor más sólidas para prevenir estos ataques.

Varios proveedores han comenzado a implementar estas recomendaciones, incluido Wyze, que actualizó su aplicación complementaria antes de la presentación de los investigadores de sus hallazgos en el Cyber ​​Security Experiment & Test Workshop en agosto.

El trabajo fue patrocinado por la Oficina de Investigación Naval. Dylan Jessee, un cadete del programa Army ROTC de la universidad, dirigió el esfuerzo para identificar las vulnerabilidades. Jessee espera diversificarse en el campo de la carrera cibernética del Ejército después de la puesta en servicio.

El documento, «A través del catalejo: Hacia los ataques de intermediarios de la aplicación complementaria de IOT», está disponible en research.fit.edu/iot.