Kaspersky Lab ha investigado las vulnerabilidades que tienen los smart hubs que se utilizan para gestionar todos los sensores y módulos instalados en el hogar. El especialista en seguridad eligió un dispositivo elegido al azar y descubrió varias vulnerabilidades en su arquitectura por su diseño inseguro. Lo primero que observó es que al conectarse a un servidor envía la información incluida las credenciales necesarias para iniciar la sesión en la interfaz web del smart hub, la identificación del usuario y la contraseña. Además de otros datos importantes como el número de teléfono que el usuario utiliza para las alertas.
Los ciberdelincuentes pueden descargarse el archivo con la información, simplemente enviando una solicitud legítima al servidor, simplemente incluyendo el número de serie de dispositivo, que puede descubrirse de manera muy sencilla. Según señalan los expertos, los números de serie pueden llegar a descubrirse mediante un análisis lógico, confirmándose después mediante una solicitud al servidor. Si un dispositivo con ese número de serie se registra en un sistema en la nube, los cibercriminales recibirán una información afirmativa. Como resultado, pueden entrar en la cuenta web del usuario y administrar la configuración de los sensores y controladores conectados al hub de Smart home.
“Aleatoriamente seleccionamos el dispositivo smart home y hemos encontrado que su vulnerabilidad no es una excepción si no una confirmación más de los problemas de seguridad en el mundo del IoT. Parece que todos estos dispositivos, incluso los más sencillos, contienen al menos un problema de seguridad”, alerta Vladimir Dashchenko, responsable del grupo de investigación de vulnerabilidades en Kaspersky Lab ICS CERT.
El proveedor cuenta con una aplicación gratuita para la plataforma Android: Kaspersky IoT Scanner, que escanea la red Wi-Fi doméstica e informa al usuario sobre los dispositivos conectados y su nivel de seguridad. Además aconseja al usuario utilizar siempre contraseñas complejas y cambiarlas regularmente, interesarse por los problemas de ciberseguridad consultando la información más reciente sobre las vulnerabilidad detectadas y parcheadas.
Al mismo tiempo, recomienda a los fabricantes y desarrolladores que realicen siempre pruebas de seguridad antes de lanzar los productos y que cumplan con los estándares de ciberseguridad IoT.
