Encajar y olvidar: la amenaza planteada por la IoT no configurada

La marcha de la tecnología "inteligente" ha visto cada dispositivo concebible en nuestros hogares y oficinas "mejorado" con algún tipo de conectividad. Si bien esto ofrece funcionalidad adicional para algunos, dice Ken Munro, socio de Compañeros de prueba de la pluma, para otros, estas mejoras inteligentes superan los requisitos.

Después de todo, ¿por qué conectar su lavadora de forma inalámbrica si está feliz de usar los controles manualmente? Inevitablemente, esto significa que los dispositivos de Internet de las cosas (IoT) se compran y usan sin conectarlos, lo que crea un problema real.

Los dispositivos IoT que no están configurados todavía actúan de manera efectiva como puntos de acceso inalámbricos abiertos sin cifrar, lo que los hace vulnerables al compromiso. Este es un problema que parece haber escapado a la atención de fabricantes y reguladores. A pesar de la publicación de numerosas pautas de asesoramiento, ninguna de ellas trata este tema, incluido nuestro propio Código de práctica para la seguridad de IoT del consumidor.

Vectores de ataque

Conectarse a un dispositivo IoT no configurado es trivial. Un atacante puede identificar el SSID para el dispositivo mediante un sitio de geolocalización como wigle.net. Los dispositivos son fácilmente identificables, por ejemplo, las calderas utilizan el SSID: iketttle, jacuzzis: BWGSPa, Google Chromecast: Chromecast, acondicionadores de aire LG: LGE_AC y Agua ecológica Ablandadores de agua inteligentes: H2O-6c. Todo lo que necesitan hacer es descargar la aplicación, ir más allá de la ubicación, conectarse al punto de acceso inalámbrico y listo.

Los dispositivos que usan conectividad Bluetooth tienen un riesgo aún mayor que aquellos que usan Wi-Fi. Esto se debe a que tales dispositivos a menudo no cuentan con un proceso para autenticar o autorizar el dispositivo móvil al que se conectan, lo que permite a cualquier persona dentro del alcance conectarse.

Una vez comprometidos, estos dispositivos pueden ser objeto de abuso de varias maneras. Se pueden utilizar para crear una puerta trasera en la red, por ejemplo. Incluso hemos visto esto en un entorno empresarial donde un screencaster no configurado instalado por un ingeniero AV (y, por lo tanto, no en el radar del departamento de seguridad) conectó la red corporativa cableada e inalámbrica.

Considere también que muchos de estos dispositivos habrán estado languideciendo en la cadena de suministro, atascados en un almacén en algún lugar hasta que se envíen, lo que significa que generalmente buscan actualizar su software una vez que están configurados. Los software no configurados y que se están quedando obsoletos son explotables y son un objetivo primordial para el firmware no autorizado.

Una vez que se ha cargado el firmware fraudulento, se puede usar para modificar el dispositivo, por ejemplo, verlo potencialmente usado para escuchas ilegales. No actualizar los dispositivos también es un problema para otros dispositivos de IoT a largo plazo, desde bombillas inteligentes hasta termostatos, que probablemente se queden en el lugar Durante mucho tiempo y que el usuario no puede molestarse en actualizar.

Resolviendo el problema

Existen algunas soluciones de diseño que podrían resolver el problema de la IoT no configurada. Una opción es instalar físicamente un botón en el dispositivo que el usuario debe usar para autenticarse, ya sea para conectividad inalámbrica o emparejamiento Bluetooth.

Esto asegura que el dispositivo solo se puede hacer manualmente para conectarse a la aplicación en el dispositivo de los usuarios cuando está cerca. Sin contar con la clave que se intercepta en tránsito, esto reduce enormemente el potencial de compromiso, sin embargo, dado que la seguridad suele ser una idea tardía en el mejor de los casos, muy pocos dispositivos tienen un mecanismo de control físico como este.

Una solución más rentable sería obligar a todos los dispositivos de IoT a que desconecten sus radios de radiofrecuencia de forma predeterminada. Esto puede parecer que va en contra del punto de la IoT, pero creo que necesitamos controlar nuestra tecnología y no al revés.

El hecho de que el producto se envíe como inteligente no significa que el usuario lo usará según lo previsto. Los consumidores deben tener la opción de elegir cómo desean usar el dispositivo. De lo contrario, corremos el riesgo de que nuestras casas inteligentes se vuelvan susceptibles a los ataques locales a través de Wi-Fi.

El autor es Ken Munro, socio, Pen Test Partners.