Te
levantas por la mañana, abres la puerta de la nevera sacas una caja de leche y al
cerrar la puerta consultas la agenda del día en la pantalla LCD de la puerta de
la nevera. Mientras tanto ya te han
robado tus credenciales de Gmail.
Cada día más y más dispositivos
diferentes se conectan a Internet, relojes, coches, cafeteras o neveras. Todo
puede conectarse a Internet. Pero como sabemos todo dispositivo conectado puede
suponer un riesgo adicional. En este caso, durante la pasada Defcon un equipo
ha comprobado la seguridad de la nevera RF28HMELBSR
de Samsung, evidenciando importantes problemas de seguridad.
El modelo RF28HMELBSR de Samsung es
una de esas neveras de gran tamaño que además incluye una pantalla LCD de 8
pulgadas, conexión WiFi y puede controlarse a través de la aplicación "Samsung Smart Home".
Durante la pasada Defon 23, se
celebró el evento IoT Village donde se impartieron diversas conferencias sobre
el "Internet de las cosas"
y la seguridad de dispositivos conectados, como TVs, termostatos, controladores
de domótica, etc. También se propuso como reto vulnerar la seguridad de este gran
electrodoméstico conectado.
— IoT Village (@IoTvillage) julio 31, 2015
El grupo PenTestPartners ha
publicado los resultados de su investigación sobre la seguridad de esta
nevera.
En primer lugar confirma que la
nevera implementa SSL, sin embargo falla al validar los certificados SSL, lo
que permite realizar ataques de hombre en el medio ("man-in-the-middle") contra la mayoría de las conexiones. Como la
nevera incluye una funcionalidad para mostrar el calendario de Google, se podría usar un ataque MITM para obtener
las credenciales de GMail del usuario.
Según la información del grupo, una
excepción es se intenta conectar al servidor de actualizaciones. La conexión se
realiza a la URL https://www.samsungotn.net,
la misma que se emplea para TVs y otros dispositivos, sin embargo aunque generaron
certificados con el mismo contenido que si fuera el sitio real, en ese caso fue
imposible lograr la validación.
Los investigadores también han
intentado otros ataques como intentar ataques a través del servicio de
calendario, sin embargo las etiquetas HTML y otras marcas no se interpretan por
lo que no lograron un ataque exitoso de esta forma.
También comprobaron la
posibilidad de falsificar una actualización del firmware para comprometer el
electrodoméstico a través de una actualización personalizada maliciosa. Si bien
los investigadores confirman que encontraron el formato de URL para descargar
el archivo, todavía necesitan encontrar una serie de parámetros adicionales para
completar la URL. Según dicen no son datos secretos, solo difíciles de
conseguir, como un nombre de código para el modelo del dispositivo,
probablemente un número de serie, etc.
El frigorífico tiene al menos dos
servicios en escucha. Uno en el puerto 4444 (SSL) y otro en el puerto 8888. El
servicio en el puerto 4444 requiere un certificado cliente para la mayoría de
las solicitudes, aunque no todos se validan contra el lado del cliente. El
grupo sospecha que se utiliza por la aplicación móvil y, por lo tanto, el
certificado estará en el código de la aplicación.
Los analistas también han
trabajado sobre la aplicación móvil. Según informan creen haber encontrado el
certificado dentro del almacén de claves. Sin embargo está adecuadamente
protegido por contraseña, aunque creen haber conseguido la contraseña ofuscada,
Las cosas de Internet en el Internet de las cosas
Cada vez hay más dispositivos con
conexión a Internet. Esto expone al software del dispositivo a los mismos
riesgos que cualquier otro sistema conectado a la Red. El Internet de las cosas
es más popular cada día y eso abre nuevas puertas a vulnerabilidades, robos de
datos, control del dispositivo, etc.
Estos nuevos dispositivos
conectados, como relojes, electrodomésticos, TVs, se encuentran en un
ecosistema totalmente nuevo, nunca habían tenido conexión y se enfrentan a
problemas totalmente nuevos para ellos, aunque muy conocidos para el software
normal.
Los fabricantes de este tipo de sistemas conectados (electrodomésticos,
cámaras, TVs, etc.) deben tomar
conciencia de la importancia que representa la seguridad del dispositivo y no
cometer los mismos fallos que la industria del software lleva años pagando.
Más información:
RF28HMELBSR/AA
Hacking DefCon 23’s IoT Village Samsung fridge
IOT Village
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario