Puede pensar que lo peor que puede arriesgarse al comprar una bombilla inteligente o una cámara de seguridad será un problema extra al configurarlo o la falta de ajustes. Pero no es solo mientras están enchufados que estos gadgets slapdash son un riesgo de seguridad, incluso desde el bote de basura, pueden comprometer su red.
A pesar de que los llamados dispositivos de Internet de las Cosas son pequeños y bastante tontos, aún son computadoras en red de pleno derecho para todos los propósitos y propósitos. Es posible que no tenga que hacer mucho, pero aún debe tomar muchas de las mismas precauciones básicas para evitar que, por ejemplo, transmitan su información privada no encriptada al mundo, o que otorgue acceso de raíz a cualquier persona que pase por allí.
En el caso de estas bombillas “inteligentes” de bajo costo investigadas por Resultados limitados (a través de Hack a Day), el problema no es lo que hacen mientras Conectados pero qué mantienen a bordo de sus diminutos cerebros, y cómo.
Todas las bombillas que probaron demostraron que no tienen ninguna seguridad real al proteger la información que se guarda en los chips que se encuentran dentro. Después de exponer las PCB, conectaron algunos cables y en un momento, cada dispositivo escupiría los datos de inicio y estaría listo para tomar los comandos.
Los datos estaban, sin excepción, totalmente sin cifrar, incluida la contraseña inalámbrica de la red a la que se había conectado el dispositivo. Un dispositivo también expuso su clave RSA privada, utilizada para crear conexiones seguras a los servidores a los que se conecta (por ejemplo, para buscar actualizaciones, cargar datos de usuarios en la nube, etc.). Esta información estaría disponible para cualquiera que haya sacado esta bombilla de la basura, la haya robado de un accesorio de exterior o la haya comprado de segunda mano.
“En serio, el 90 por ciento de los dispositivos de IoT se desarrollan sin la seguridad en mente. “Es solo un desastre”, escribió Resultados limitados en un correo electrónico. “En mi investigación, me he dirigido a cuatro dispositivos diferentes: LIFX, XIAOMI, TUYA y WIZ (aún no publicado, personas muy crueles). Los mismos dispositivos, las mismas vulnerabilidades e incluso, a veces, exactamente el mismo código en el interior “.
Ahora, estos fragmentos de información en particular expuestos en estos dispositivos no son tan dañinos en sí mismos, aunque si alguien lo quisiera, podrían aprovecharlo de varias maneras. Lo que es importante tener en cuenta es la total falta de atención que se produjo en estos dispositivos, no solo su código, sino su construcción. En realidad, solo son recintos básicos alrededor de una placa inalámbrica comercial, sin tener en cuenta la seguridad, la seguridad o la longevidad. Y este tipo de cosas no se limita de ninguna manera a las bombillas inteligentes.
Todos estos dispositivos afirman con orgullo que son compatibles con Alexa, Google Home u otros estándares. Esto puede dar a los usuarios la falsa sensación de que, de alguna manera, están acreditados, inspeccionados o que cumplen con los estándares básicos.
De hecho, además de que todos ellos carecen esencialmente de seguridad, uno tenía su carcasa metálica (conductora) aislada de la PCB solo por un pedazo de papel adhesivo suelto. Este tipo de cosas es un incendio eléctrico, o al menos un corto, esperando a suceder.
Al igual que con cualquier otra clase de electrónica, siempre hay una buena razón para que una sea mucho más barata que otra. Pero en el caso de un reproductor de CD barato, lo peor que obtendrás es saltear o un disco rayado. Eso es no el caso con un monitor de bebé barato, una salida inteligente barata, una cerradura de puerta barata conectada a internet.
No estoy diciendo que deba comprar la versión premium de todos los dispositivos inteligentes que hay por ahí: los consumidores deben ser conscientes de los riesgos a los que se están exponiendo con la instalación de cualquiera de estos dispositivos, por no hablar de uno mal hecho.
Si desea limitar su propio riesgo, un paso simple que puede tomar es tener sus dispositivos domésticos inteligentes y, por lo tanto, aislados en una subred o red de invitados. Asegúrese de que los dispositivos, y por supuesto su enrutador, estén protegidos por contraseña, y tome medidas de sentido común como cambiar esa contraseña regularmente.
Source link