Timbres inteligentes en Amazon, eBay, Harbour Serios problemas de seguridad - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Timbres inteligentes en Amazon, eBay, Harbour Serios problemas de seguridad

Hola, ¿qué tal colega?. Soy Eduardo Arroyo y esta vez vamos a hablar sobre Timbres inteligentes en Amazon, eBay, Harbour Serios problemas de seguridad

Timbres inteligentes en Amazon, eBay, Harbour Serios problemas de seguridad

Matt Lewis, de NCC Group, habla con Threatpost sobre una serie de problemas de seguridad y privacidad encontrados en los timbres inteligentes vendidos en Amazon y eBay.

Los investigadores encontraron serios problemas de seguridad y privacidad en 11 timbres inteligentes diferentes, distribuidos a través de mercados Online como Amazon y eBay, que los atacantes podrían aprovechar para apagar físicamente los dispositivos.

Los timbres inteligentes, que se conectan a un teléfono inteligente y alertan a los usuarios cuando alguien se acerca a su casa, junto con imágenes de video, se han vuelto cada vez más populares a lo largo de los años. Matt Lewis, director de investigación de NCC Group, dijo a Threatpost durante episodio del podcast Threatpost de esta semana que se ha descubierto que estas campanas inteligentes tienen una gran cantidad de problemas, incluidas políticas de contraseñas débiles, falta de cifrado de datos y recopilación excesiva de información del cliente.

«Nuestros hallazgos podrían causar problemas a los consumidores y son indicativos de una cultura más amplia que favorece los atajos sobre la seguridad en el proceso de fabricación», dijo Lewis. “Sin embargo, esperamos que la legislación de IoT tan esperada marque un punto de inflexión en la seguridad de IoT. Hasta que esto se logre, debemos seguir trabajando juntos para resaltar la necesidad de principios básicos de seguridad por diseño y educar a los consumidores sobre los riesgos y lo que pueden hacer para protegerse «.

Los investigadores, en colaboración con Which ?, examinaron los timbres inteligentes de Victure (cámara de timbre inteligente por 90 euros); Qihoo 360 (timbre con vídeo inteligente 360 ​​D819, 87 euros); Accfly (timbre de video inalámbrico por 51 euros).

Los investigadores encontraron varios problemas con estos productos. Dos de los dispositivos probados, fabricados por Victure y Ctronics, tenían una vulnerabilidad crítica que podría permitir a los ciberdelincuentes robar la contraseña de la red. Las fallas también permitirían a los ciberdelincuentes piratear no solo los timbres y el enrutador, sino también cualquier otro dispositivo inteligente en el hogar, como un termostato, una cámara o incluso una computadora portátil.

También se descubrió que Victure Smart Video Doorbell envía el nombre y la contraseña de WiFi del hogar de los clientes en texto sin cifrar a los servidores en China.

«Si se roban, estos datos podrían permitir que un pirata informático acceda al WiFi doméstico de las personas, permitiéndoles apuntar a sus datos privados y cualquier otro dispositivo inteligente que posean», dijo Lewis.

Una gran cantidad de timbres probados también utilizaron contraseñas débiles, predefinidas y fáciles de adivinar, dijeron los investigadores.

«Es común que los consumidores menos preocupados por la seguridad no modifiquen las contraseñas predeterminadas de sus equipos, exponiéndolos potencialmente a piratas informáticos», dijo Lewis.

Los investigadores encontraron que otro dispositivo, comprado por eBay y Amazon sin una marca clara asociada con él, era vulnerable a un exploit crítico llamado KRACK. El ataque KRACK, también conocido como Ataques de reinstalación de claves, se descubrió en 2017. El enfoque KRACK fue un problema de toda la industria en los protocolos WPA y WPA2 para la seguridad Wi-Fi que podría causar la pérdida total del control de los datos.

Para el timbre inteligente, esta vulnerabilidad podría permitir a un atacante violar la seguridad WPA-2 en el WiFi doméstico de alguien y eventualmente obtener acceso a su red, dijeron los investigadores. Finalmente, dijeron los investigadores, el timbre de video inteligente Qihoo 360, vendido en Amazon, era fácil de robar físicamente. Los delincuentes podrían simplemente arrancarlo de la pared con una herramienta de expulsión de tarjeta SIM estándar (incluida con todos los teléfonos inteligentes). Luego podría restaurarse y venderse.

¿Cuales? Intenté contactar con todos los fabricantes, pero solo encontré detalles de Accfly y Victure, quienes no respondieron. Tampoco pudieron localizar a nadie con quien contactar para los otros timbres, ya que algunos no tenían nombre de marca. En cambio, los investigadores contactaron a eBay y Amazon, donde se compraron los timbres. Amazon, por su parte, eliminó al menos siete listados de productos después de que se envió la búsqueda a la empresa.

«Requerimos que todos los productos ofrecidos en nuestra tienda cumplan con las leyes y regulaciones aplicables y hemos desarrollado herramientas líderes en la industria para evitar que los productos inseguros o que no cumplan con las normas aparezcan en nuestras tiendas», dijo Amazon en un comunicado.

eBay, por su parte, dijo que sigue facilitando las discusiones entre Which? y vendedores de timbres inteligentes para que se puedan abordar las preocupaciones.

«Cuando se incluye un producto que viola nuestros estándares de seguridad, lo eliminamos inmediatamente», dijo eBay en un comunicado. «Estas tarjetas no violan nuestros estándares de seguridad, pero representan problemas técnicos del producto que deben resolverse con el proveedor o el fabricante».

Lewis señaló que los consumidores pueden mantenerse seguros si se mantienen alejados de las marcas desconocidas y, en cambio, compran de marcas de renombre. Además, dijeron los investigadores, los consumidores siempre deben verificar su contraseña al configurar un nuevo dispositivo, verificar la configuración para asegurarse de que todas las actualizaciones se realicen automáticamente y habilitar la autenticación de dos factores (2FA) si está disponible en el dispositivo.

.

No te olvides compartir en en tu Twitter y Facebook para que tus amigos lo lean

??? ? ? ???

Comparte