domingo, 26 de julio de 2015

Estudio de HP revela que todos los smartwatches son vulnerables

HP ha publicado un estudio sobre la seguridad en los smartwatches o relojes inteligentes según la cual todos los dispositivos analizados se ven afectados por algún problema de seguridad.

Fuente: HP. Internet of Things Security Study: Smartwatches
HP ha dado a conocer los resultados de una evaluación que confirma que los smartwatches con funcionalidades de red y comunicaciones representan una nueva puerta de ataques. El estudio realizado por HP Fortify encontró que el cien por cien de los relojes evaluados contienen importantes vulnerabilidades, incluyendo autenticación insuficiente, falta de cifrado y problemas de privacidad.

HP ha realizado su estudio sobre 10 relojes inteligentes y sus aplicaciones móviles para iOS y Android, si bien en ningún momento del estudio se mencionan los relojes analizados, un dato que sin duda daría más valor al informe. Se puede pensar que para el estudio al menos se han incluido los relojes más populares, pero dada la diversidad de smartwatches existentes en el mercado, versiones, etc. sería importante conocer los relojes y los problemas que afectan a cada uno. HP considera que la similitud en los resultados de los 10 smartwatches analizados constituye un buen indicador del estado actual en materia de seguridad de los relojes inteligentes.

Lo que sí se especifica claramente es que para las pruebas se ha empleado el "OWASP Internet of Things Top 10" y las vulnerabilidades especificadas asociadas para cada categoría.

Los problemas más sencillos y comunes descritos en el informe incluyen: 
  • Insuficiente autorización o autenticación de usuario. Todos los relojes fueron emparejados con una interfaz móvil que carecía de autenticación de dos factores y la capacidad de bloquear las cuentas después de varios intentos fallidos de contraseña. Tres de cada diez, el 30 por ciento, eran vulnerables a la obtención de la cuenta. Esto es, un atacante podría obtener acceso al dispositivo y los datos a través de una combinación de políticas débiles de contraseñas, falta de bloqueo de cuentas y enumeración de usuario.
         
  • Carencia de comunicaciones cifradas. El cifrado de las comunicaciones se considera crítico dado que se está transmitiendo información personal. Todos los relojes evaluados implementaban comunicaciones cifradas mediante SSL/TLS, sin embargo cuatro de ellos eran vulnerables a un ataque POODLE.
          
  • Interfaces inseguras: tres de los smartwaches evaluados (30%) utilizaban interfaces web basados en la nube, que además se veían expuestos a problemas de enumeración de cuentas. El mismo porcentaje en lo que se refería a las aplicaciones móviles.
         
  • Firmware/software inseguro. Un 70% de los relojes inteligentes probados presentaban problemas en la protección de las actualizaciones del firmware, incluyendo transmisión de actualizaciones de firmware y archivos de actualización sin cifrar. Sin embargo, para evitar la instalación de firmware malicioso muchas actualizaciones estaban firmadas.
         
  • Problemas de privacidad. Todos smartwatches recogen algún tipo de información personal, como nombre, dirección, fecha de nacimiento, peso, sexo, frecuencia cardíaca y otros datos sobre la salud del usuario. Dada la posibilidad de enumeración de cuentas y la utilización de contraseñas débiles en algunos productos, la exposición de esta información personal es un motivo de preocupación.
      
Más información:

HP Study Reveals Smartwatches Vulnerable to Attack

Internet of Things Security Study: Smartwatches

OWASP Internet of Things Top 10

una-al-dia (15/10/2014) SSL tocado y hundido



Antonio Ropero

No hay comentarios:

Publicar un comentario en la entrada