Black Hat: Los errores permiten la adquisición de habitaciones de hotel cápsula - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Black Hat: Los errores permiten la adquisición de habitaciones de hotel cápsula

Hola, ¿qué tal colega?. Yo soy Eduardo Arroyo y en esta ocasión te voy a contar sobre Black Hat: Los errores permiten la adquisición de habitaciones de hotel cápsula

Black Hat: los errores de seguridad permiten la adquisición de habitaciones de hotel cápsula

Un investigador pudo controlar de forma remota las luces, la cama y la ventilación en habitaciones de hotel «inteligentes» a través de las vulnerabilidades de Nasnos.

LAS VEGAS – Una serie de vulnerabilidades en los dispositivos de Internet de las cosas (IoT) que a menudo se encuentran en habitaciones de hotel conectadas permitieron a un investigador tomar el control de los servicios de varias habitaciones y castigar a un vecino ruidoso.

Una búsqueda de errores involuntaria comenzó cuando Kya Supa, consultor de seguridad de LEXFO, estaba de vacaciones en el extranjero. Pasó algunas noches en un llamado «hotel cápsula», que se refiere a alojamientos que consisten en habitaciones diminutas apiladas una al lado de la otra. En un esfuerzo por compensar las limitaciones de espacio, este tipo de excavaciones tienden a ofrecer algunas campanas y silbidos electrónicos, y según Supa, este hotel en particular no fue diferente.

En una sesión del miércoles en Black Hat 2021, «Hackear un hotel cápsula: fantasma en las habitaciones», Supa explicó que un iPod touch entregado en el check-in permite a los clientes controlar las luces, cambiar la posición de sus camas ajustables y verificar la aficionados.

Todo muy bien, y Supa no habría mirado bajo el capó de la tecnología de control de habitaciones excepto que un vecino ruidoso lo incitó a ver si podía pasar por alto a los guardias de seguridad para tomar el control de las otras habitaciones de la habitación. Resulta que pudo hacer esto usando seis exploits diferentes que estaban encadenados.

«Conocí a mi amigo ‘Bob'», explicó el investigador. “Este vecino me despertó dos veces el último día. Me despertó porque llamaba a las 2 de la mañana y hablaba muy alto. Así que la segunda noche fui a verlo y le pedí cortésmente que hablara más tranquilamente. Dijo «sí, claro, no hay problema». Pero no ha habido ningún cambio ».

Supa continuó viajando pero regresó al mismo hotel unos días después, y «Bob» todavía estaba allí, mostrando el mismo comportamiento. Entonces, el investigador decidió hacer una pequeña prueba de penetración.

«El iPod touch viene con una aplicación que ayuda a controlar su dormitorio y está conectado a dispositivos a través de Bluetooth o Wi-Fi», explicó Supa. «Así que debe haber una forma de comunicarse con lo que sea que esté controlando el dormitorio».

Una exploración del dormitorio reveló la presencia de un control remoto Nasnos CS8020, que se puede usar para controlar hasta cinco dispositivos Nasnos, los mismos a los que se conecta el iPod touch. Se utiliza si el iPod touch se pierde o si la aplicación no funciona.

También dedujo la presencia de un enrutador Nasnos CS8700 dentro de la pared de cada habitación, que permite el control de los dispositivos Nasnos a través de Wi-Fi, tanto desde el iPhone touch como desde el control remoto (y potencialmente desde teléfonos inteligentes Android u otros dispositivos iOS). .

Armado con el conocimiento del aspecto de la arquitectura de IoT de la sala, pasó a la fase de explotación.

El iPod touch en este caso tiene una única aplicación a la que puede acceder el visitante del hotel, con sencillos botones que se conectan a las distintas funciones de la «habitación inteligente».

«Cuando traté de salir de la aplicación por primera vez, vi que no era posible», dijo Supa. “No puedo salir de la aplicación o apagar el iPod touch, pero cuando toco la parte inferior tres veces, noto que se ha solicitado una contraseña. Al buscar en Internet, descubrí que este comportamiento se debía a una función de iOS llamada Acceso guiado «.

El acceso guiado restringe un dispositivo a aplicaciones específicas y permite a los usuarios controlar qué funciones están disponibles, una forma de control parental. Se puede anular con un código de acceso, pero Supa descubrió que la protección solo se configura en tiempo de ejecución.

«Esto significa que la protección ya no existe si reiniciamos el dispositivo», explicó. «Sí, no podemos apagar el iPod … pero aún podemos agotar la batería, conectarlo a la corriente más tarde y reiniciar el dispositivo. Una vez hecho esto, la protección ya no está ahí y podemos acceder a todo: otros aplicaciones y configuraciones del iPod touch «.

Al examinar la configuración del dispositivo del iPod touch, el investigador descubrió que estaba inscrito en una solución de administración de dispositivos móviles (MDM), con dos redes Wi-Fi guardadas. Uno de ellos se llamaba Nasnos-CS8700 y se protegía utilizando solo WEP, un método de cifrado muy antiguo que se ha crackable durante casi 20 años.

De hecho, es bastante fácil recuperar una clave WEP, explicó el investigador.

«Puede devolver una clave WEP capturando alrededor de 80.000 paquetes [from the access point]», explicó, lo que pudo hacer con una simple carga útil de JavaScript que genera continuamente solicitudes de Protocolo de resolución de direcciones (ARP). ARP transmite un paquete de solicitud a todas las máquinas en una red determinada y pregunta si alguno de ellos sabe cómo usar esa IP en particular. Supa configuró un punto de acceso no autorizado (AP) usando su teléfono inteligente Android, conectó el iPod touch, guardó la carga útil, volvió a conectar el iPod touch al AP Nasnos y ejecutó el código. Pronto pudo recuperar la clave y pronto descubrió que se pudo acceder al enrutador con las credenciales predeterminadas.

Una diapositiva de la presentación virtual de Supa.

«La contraseña comienza con 123 y te haré adivinar qué pasa después», dijo Supa.

Conectó su computadora portátil al AP vulnerable usando credenciales para configurar una arquitectura de intermediario para inspeccionar el tráfico que fluye desde el enrutador: el iPod touch conectado al AP Android no autorizado; el AP de Android también estaba conectado a una tarjeta Wi-Fi en la computadora portátil de Supa. Mientras tanto, se conectó una segunda tarjeta Wi-Fi en la computadora portátil al AP Nasnos y, gracias al reenvío de IP, el investigador pudo observar que los paquetes se enviaban al enrutador Nasnos en el puerto TCP 8000 sin necesidad de autenticación o cifrado. .

«Después de eso, acabo de desarrollar un programa que envía los mismos paquetes [from the laptop to the router] dependiendo de la acción necesaria «, dijo.» Eso significa que ahora podemos controlar el dormitorio desde una computadora portátil. Pero, ¿podemos controlar todos los dormitorios? «

En otras palabras, ¿podría bromear con «Bob?»

Lo primero que tuvo que hacer Supa fue averiguar si la clave de Wi-Fi se genera dinámicamente o se configura manualmente.

Para averiguarlo, decodificó una aplicación Nasnos disponible en Google Play. tienda. Permite a los usuarios configurar la configuración de Wi-Fi de un enrutador Nasnos. Al examinar la aplicación, Supa encontró otra vulnerabilidad: los paquetes se envían al enrutador en el puerto UDP 988 como parte del servicio de configuración remota; pero no requiere autenticación para configurar (o reconfigurar) el enrutador.

Sin embargo, esto no reveló si las claves son estáticas o dinámicas. Pero cuando regresó al hotel cápsula por segunda vez, a Supa le dieron una habitación diferente.

«Noté una similitud con la clave de Wi-Fi de mi habitación anterior: solo los últimos cuatro caracteres parecían cambiar», dijo. «Si este es el caso en los 119 dormitorios, significa que solo hay 65.536 posibilidades, lo cual no es nada … podemos lanzar un ataque de diccionario con un archivo que contiene todas las claves posibles».

Armado con una lista de claves, el siguiente paso fue hacer coincidir la clave correcta con el SSID correcto para «Bob».

«Usé mi computadora portátil para encender la luz de la habitación de cada SSID y cuando noté un cambio en su habitación, supe que era el punto de acceso que estaba buscando», explicó Supa. “Fui y traté de encontrar el mejor escenario posible para ‘Bob’. Una buena idea sería crear un guión que cada dos palabras convierta la cama en un sofá y viceversa, encienda y apague las luces, etc. Convéncele de que hay fantasmas «.

En total, Supa encontró seis errores diferentes:

  • Acceso de bypass guiado
  • Usando WEP
  • Interfaz de enrutador simple con credenciales predefinidas
  • Servicio Nasnos disponible sin autenticación
  • Acceso de lectura / escritura a la capacidad de configuración remota del enrutador
  • Uso de claves AP no aleatorias

Supa dijo que se comunicó con Nasnos y el hotel sobre los puntos débiles.

«El hotel era realmente fantástico y se lo tomó en serio», dijo. «Ahora utiliza una nueva arquitectura, por lo que ya no es posible explotar las vulnerabilidades de ese hotel».

Sin embargo, Nasnos no respondió a su informe, dijo, por lo que si se utilizan claves no aleatorias en todos sus enrutadores, muchos otros entornos son susceptibles a exploits similares.

Masnos no respondió de inmediato a una solicitud de comentarios.

.

No te olvides compartir en tu Facebook para que tus amigos lo consulten

??? ? ? ???

Comparte