Sistemas Philips Hue y Nest Podrían estar Expuestos

27976 posts.homepage preview md

Cuando hablamos de seguridad, y nos referimos a la seguridad cibernética de nuestros hogares, la mayoría de nosotros imaginamos piratas informáticos de nivel de película Bond en habitaciones oscuras, explotando de manera experta nuestras cámaras, alarmas y cerraduras de puertas.

Pero a medida que los dispositivos inteligentes se enredan en los ecosistemas digitales (Nest, Google Assistant y Alexa, por nombrar solo algunos), incluso un eslabón débil puede dejar todos los dispositivos abiertos para ataques. Y una nueva investigación muestra que son nuestras bombillas inteligentes y cafeteras conectadas las que podrían estar dejando nuestros hogares en riesgo.

Gran veredicto eBisurd: Revisión de Philips Hue Play

Un equipo de científicos informáticos del College of William & Mary probó la seguridad de varios productos para el hogar inteligente actualmente en el mercado y encontró vulnerabilidades significativas que pueden significar que las empresas de tecnología deban repensar la forma en que interactúan sus dispositivos.

27862 postshomepage preview lg 1545242305 MaDQ column width inline

El equipo analizó un ataque llamado “escalada lateral de privilegios”, que compromete un dispositivo o aplicación de bajo riesgo para obtener acceso a un dispositivo de alto riesgo como una cámara de seguridad. Los resultados revelan fallas, no necesariamente en los dispositivos en sí, sino en la arquitectura de las plataformas que sirven como el eje central de la casa inteligente.

Y aunque con demasiada frecuencia estas vulnerabilidades se encuentran en dispositivos sin nombre propiedad de un puñado de personas, el equipo de investigación encontró problemas que requieren mejoras en los productos Philips Hue y Nest durante su evaluación.

“Es un problema de software que se extiende al entorno físico y no es algo que se pueda solucionar de inmediato”, dijo el autor del estudio Adwait Nadkarni, profesor asistente de ciencias de la computación en William & Mary. “Si no protege estos dispositivos de baja seguridad, incluso la comunicación indirecta entre estos dos dispositivos puede poner en riesgo su hogar inteligente”.

Nadkarni y sus colegas utilizaron una configuración de hogar inteligente simulada en la que conectaron varios dispositivos a una plataforma de hogar inteligente y vieron hasta dónde podían llegar los ataques. Con más de 20 mil millones de productos para el hogar inteligente proyectados para estar en uso para 2020, su trabajo tiene implicaciones de gran alcance para la seguridad física de los usuarios. El estudio ha sido aceptado en la Conferencia de la Asociación de Maquinaria de Computación (ACM) sobre seguridad y privacidad de datos y aplicaciones y se presentará en marzo de 2019.

Infiltrándose en sus rutinas

26957 postshomepage preview lg 1545242319 dImt column width inline

La automatización del hogar está impulsada por la implementación de rutinas, que son secuencias de acciones de aplicaciones y dispositivos que se ejecutan en uno o más activadores. Por ejemplo, cuando enciende el sistema de alarma antes de salir de la casa, puede programar su termostato inteligente para que se apague automáticamente para ahorrar electricidad. Las plataformas de hogares inteligentes como Works with Nest de Google, Samsung SmartThings y Philips Hue realizan un seguimiento de todos los dispositivos conectados y sus estados a través de variables en un almacén de datos centralizado.

“Un sensor de presencia indicará si un usuario está en casa y ajustará esa variable en el almacén de datos centralizado en consecuencia”, dijo Nadkarni. “Entonces, el resto de los dispositivos reaccionarán de la forma que desee cuando esté en casa (las luces se encienden, el termostato se enciende, etc.), pero en algunos casos, estas variables pueden explotarse”.

Por ejemplo, los piratas informáticos podrían comprometer un dispositivo de baja seguridad como sus luces, que tienen acceso a la variable de presencia. Si cambian su estado para decirle falsamente a la plataforma que está en casa cuando realmente está a kilómetros de distancia de vacaciones, los atacantes podrían alterar las acciones de dispositivos de alta seguridad como cámaras y cerraduras de puertas.

Los investigadores encontraron que las rutinas compatibles con Nest permiten que los dispositivos y aplicaciones de baja seguridad modifiquen indirectamente el estado de los dispositivos de alta seguridad al modificar las variables compartidas de las que ambos dependen. Pudieron realizar una escalada lateral de privilegios comprometiendo la aplicación Kasa , cambiando indirectamente el estado de una variable, que apagaba la cámara de seguridad Nest.

26059 postshomepage preview lg 1545242374 OmFa column width inline

“Si las cosas continúan como están, la cantidad de problemas de seguridad aumentará exponencialmente a medida que las personas agreguen más dispositivos a sus hogares inteligentes”, dijo el autor del estudio, Denys Poshyvanyk, profesor asociado de informática en William & Mary. “Sin embargo, si se realizan algunos esfuerzos sistemáticos para rediseñar estas plataformas teniendo en cuenta la seguridad, estos ataques se pueden prevenir, pero sería necesario que estas empresas adopten algunos estándares comunes”.

Varias de las empresas mencionadas en el estudio, incluidas Google y Philips, han confirmado a Nadkarni y Poshyvanyk que sus ingenieros están investigando estos problemas de seguridad. Joshua Meyer, analista de seguridad asociado de la consultora Independent Security Evaluators, que no participó en el estudio, cree que los fabricantes deben considerar la seguridad desde las primeras etapas de diseño de un producto o plataforma. Pero también reconoce que las aplicaciones de terceros pueden introducir riesgos de seguridad inesperados en la red.

“Cada aplicación o dispositivo que no controlan puede presentar riesgos de seguridad para la red. El ámbito del hogar inteligente es problemático en este sentido, ya que se espera que varios dispositivos de varios fabricantes funcionen de manera cooperativa ”, dijo Meyer.

“Las plataformas de hogares inteligentes deben anticipar la inseguridad inherente de algunos dispositivos y proporcionar fuertes controles de seguridad para los otros dispositivos en una red”.

Por supuesto, las empresas de tecnología luchan en todos los frentes para proteger los dispositivos domésticos inteligentes. Si bien el acceso ilegal a dispositivos es una cuestión, la esclavitud de dispositivos como parte de las redes de bots es otra muy distinta, y una amenaza bien documentada para los próximos años. Muestra que, como concluyó Mayer, es crucial que los responsables de los ecosistemas que funcionan en nuestros hogares estén tan centrados en la seguridad como en las nuevas funciones.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario