Seguint la política de responsabilitat de la companyia, Kaspersky Lab no farà públics els noms dels fabricants dels productes que han sigut analitzats fins que existisca un pegat de seguretat que elimine eixes vulnerabilitats. Tots els fabricants han sigut informats sobre l’existència d'estes vulnerabilitats i els experts de Kaspersky Lab treballen colze a colze amb ells per a poder eliminar totes les que detecten.

Les vulnerabilitats més greus es van detectar en els sistemes d’emmagatzematge. Alguns permeten els hackers executar, de forma remota, comandos del sistema amb amplis privilegis d’administrador. Els aparells analitzats també disposaven de contrasenyes dèbils, molts dels documents de configuració tenien els permisos erronis i les contrasenyes molt senzilles. En concret, la contrasenya d’administrador d’un dels dispositius només tenia un dígit. Un altre dels dispositius analitzats compartia l’arxiu de configuració completa amb les contrasenyes xifrades amb qualsevol persona connectada a la xarxa.

Aprofitant una vulnerabilitat aïllada, l’expert de Kaspersky Lab va poder pujar un arxiu a una zona d’emmagatzematge inaccessible per a un usuari a nivell domèstic. Si este arxiu haguera sigut maliciós, s’hauria convertit en una font d’infecció per a la resta de dispositius connectats a eixe NAS –un PC, per exemple– i inclús podria servir com una bot DDoS en una botnet. La vulnerabilitat permetia pujar arxius a una zona especial del sistema d’emmagatzematge del dispositiu i l’única forma d’esborrar-los era utilitzant eixa mateixa vulnerabilitat.

Per la seua banda, mentres investigava el nivell de seguretat de la smart TV, es va descobrir que no existix xifrat en les comunicacions entre la televisió i els servidors dels fabricants. Este fet obri les portes a possibles atacs man-in-the-middle que podrien derivar en el robatori de transferències de diners que l’usuari sol fer al comprar continguts a través del seu televisor. Com a prova, Jacoby va poder reemplaçar una icona de la interfície de la smart TV amb una foto. Normalment els widgets i els thumbnails es descarreguen del servidor del fabricant i, com que no existix cap xifrat, un tercer podria modificar-los. L’analista també va poder veure que la smart TV executa codis Java que, combinats amb la possibilitat d’interceptar el trànsit entre la TV i Internet, podria portar a atacs maliciosos dirigits per un exploit.

A més, el router DSL, que oferix connexió sense fil a Internet per a tots els dispositius de la casa, contenia funcionalitats perilloses i ocultes. Segons Jacoby, algunes d’estes podien facilitar l’accés remot a qualsevol dispositiu de la xarxa privada de l’usuari a través del ISP (Internet service provider). Encara més, els resultats de la investigació tiren dades com que les seccions de la interfície web del router, càmeres web, control d’accés, sensor WAN i actualització, són invisibles i l’amo del dispositiu no els pot configurar. Només seria possible accedir a estos a través de l’exploit d’una vulnerabilitat genèrica que faria possible navegar per les seccions de la interfície forçant les xifres que apareixen al final de l’adreça web.

Com estar segur en el món dels dispositius connectats:

• Complica-li la vida al hacker: per a minimitzar els riscos i evitar que aprofiten vulnerabilitats conegudes, actualitza tots els teus dispositius amb l’última versió de seguretat disponible.

• Assegura’t de canviar el nom d’usuari i la contrasenya que vénen per defecte, és la primera cosa que un cibercriminal intentarà a l’atacar el teu dispositiu.

• La majoria dels routers domèstics tenen l’opció de configurar una xarxa pròpia per a cada dispositiu i restringir l’accés a este (amb l’ajuda de diferents DMZs/VLANs). Per exemple, si tens una televisió connectada, potser voldràs limitar l’accés a un únic dispositiu addicional connectat de la teua xarxa…. No hi ha motiu perquè la teua TV estiga connectada a la teua impressora.