Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/08/2014
Kaspersky Lab descubre vulnerabilidades en los dispositivos domésticos conectados
David Jacoby, analista de seguridad de Kaspersky Lab, ha realizado una investigación experimental en su casa para comprobar su nivel de ciberseguridad. Inspeccionando varios dispositivos, Jacoby comprobó cómo, entre otros, una Smart TV, un NAS (servidor de acceso a la red), un router y un reproductor de Blu-ray eran vulnerables a un ciberataque. En su experimento, Jacoby encontró en total 14 vulnerabilidades en los sistemas de almacenamiento, una vulnerabilidad en la Smart TV y varias funciones ocultas con control remoto en el router.
Siguiendo la política de responsabilidad de la compañía, Kaspersky Lab no hará públicos los nombres de los fabricantes de los productos que han sido analizados hasta que exista un parche de seguridad que elimine esas vulnerabilidades. Todos los fabricantes han sido informados sobre la existencia de dichas vulnerabilidades y los expertos de Kaspersky Lab trabajan codo con codo con ellos para poder eliminar todas las que detecten.
Las vulnerabilidades más graves se detectaron en los sistemas de almacenamiento. Algunos permiten a los hackers ejecutar de forma remota comandos del sistema con amplios privilegios de administrador. Los aparatos analizados también contaban con contraseñas débiles, muchos de los documentos de configuración tenían los permisos erróneos y contraseñas muy sencillas. En concreto, la contraseña de administrador de uno de los dispositivos sólo tenía un dígito. Otro de los dispositivos analizados compartía el archivo de configuración completa con las contraseñas cifradas con cualquier persona conectada a la red.
Aprovechando una vulnerabilidad aislada, el experto de Kaspersky Lab pudo subir un archivo a una zona de almacenamiento inaccesible para un usuario a nivel doméstico. Si este archivo hubiese sido malicioso, se habría convertido en una fuente de infección para el resto de dispositivos conectados a ese NAS- un PC, por ejemplo- e incluso podría servir como una bot DDoS en una botnet. La vulnerabilidad permitía subir archivos a una zona especial del sistema de almacenamiento del dispositivo y la única forma de borrarlo era utilizando esa misma vulnerabilidad.
Por su parte, mientras investigaba el nivel de seguridad de la Smart TV, se descubrió que no existe cifrado en las comunicaciones entre la televisión y los servidores de los fabricantes. Este hecho abre las puertas a posibles ataques Man-in-the-Middle que podrían derivar en el robo de transferencias de dinero que el usuario suele hacer al comprar contenidos a través de su televisor. Como prueba, Jacoby pudo reemplazar un icono de la interfaz de la Smart TV con una foto. Normalmente los widgets y los thumbnails se descargan del servidor del fabricante y puesto que no existe cifrado alguno, un tercero podría modificarlos. El analista también pudo ver que la Smart TV ejecuta códigos Java que, combinados con la posibilidad de interceptor el tráfico entre la TV e Internet, podría llevar a ataques maliciosos dirigidos por un exploit.
Además, el router DSL que ofrece conexión inalámbrica a Internet para todos los dispositivos de la casa contenía funcionalidades peligrosas y ocultas. Según Jacoby, algunas de éstas podían facilitar el acceso remoto a cualquier dispositivo de la red privada del usuario a través de la ISP (Internet Service Provider). Es más, los resultados de la investigación arrojan datos como que las secciones de la interfaz web del router “cámaras web”, “control de acceso”, “sensor WAN” y “actualización” son invisibles y el dueño del dispositivo no puede configurarlos. Sólo sería posible acceder a ellos a través del exploit de una vulnerabilidad genérica que haría posible navegar por las secciones de la interfaz forzando las cifras que aparecen al final de la dirección web.
Cómo estar seguro en el mundo de los dispositivos conectados:
-
Complícale la vida al hacker: para minimizar los riesgos y evitar que aprovechen vulnerabilidades conocidas, actualiza todos tus dispositivos con la última versión de seguridad disponible.
-
Asegúrate de cambiar el nombre de usuario y la contraseña que vienen por defecto, es lo primero que un cibercriminal intentará al atacar tu dispositivo.
-
La mayoría de los routers domésticos tienen la opción de configurar una red propia para cada dispositivo y restringir el acceso a éste (con la ayuda de diferentes DMZs/VLANs). Por ejemplo, si tienes una televisión conectada, quizá quieras limitar el acceso a un único dispositivo adicional conectado de tu red…No hay motivo para que tu TV esté conectada a tu impresora.