jueves, 27 de agosto de 2015

La nevera no congela las vulnerabilidades

Te levantas por la mañana, abres la puerta de la nevera sacas una caja de leche y al cerrar la puerta consultas la agenda del día en la pantalla LCD de la puerta de la nevera. Mientras tanto ya te han robado tus credenciales de Gmail.

Cada día más y más dispositivos diferentes se conectan a Internet, relojes, coches, cafeteras o neveras. Todo puede conectarse a Internet. Pero como sabemos todo dispositivo conectado puede suponer un riesgo adicional. En este caso, durante la pasada Defcon un equipo ha comprobado la seguridad de la nevera RF28HMELBSR de Samsung, evidenciando importantes problemas de seguridad.

El modelo RF28HMELBSR de Samsung es una de esas neveras de gran tamaño que además incluye una pantalla LCD de 8 pulgadas, conexión WiFi y puede controlarse a través de la aplicación "Samsung Smart Home".

Durante la pasada Defon 23, se celebró el evento IoT Village donde se impartieron diversas conferencias sobre el "Internet de las cosas" y la seguridad de dispositivos conectados, como TVs, termostatos, controladores de domótica, etc. También se propuso como reto vulnerar la seguridad de este gran electrodoméstico conectado.


El grupo PenTestPartners ha publicado los resultados de su investigación sobre la seguridad de esta nevera.

En primer lugar confirma que la nevera implementa SSL, sin embargo falla al validar los certificados SSL, lo que permite realizar ataques de hombre en el medio ("man-in-the-middle") contra la mayoría de las conexiones. Como la nevera incluye una funcionalidad para mostrar el calendario de Google, se podría usar un ataque MITM para obtener las credenciales de GMail del usuario.

Según la información del grupo, una excepción es se intenta conectar al servidor de actualizaciones. La conexión se realiza a la URL https://www.samsungotn.net, la misma que se emplea para TVs y otros dispositivos, sin embargo aunque generaron certificados con el mismo contenido que si fuera el sitio real, en ese caso fue imposible lograr la validación.

Los investigadores también han intentado otros ataques como intentar ataques a través del servicio de calendario, sin embargo las etiquetas HTML y otras marcas no se interpretan por lo que no lograron un ataque exitoso de esta forma.

También comprobaron la posibilidad de falsificar una actualización del firmware para comprometer el electrodoméstico a través de una actualización personalizada maliciosa. Si bien los investigadores confirman que encontraron el formato de URL para descargar el archivo, todavía necesitan encontrar una serie de parámetros adicionales para completar la URL. Según dicen no son datos secretos, solo difíciles de conseguir, como un nombre de código para el modelo del dispositivo, probablemente un número de serie, etc.

El frigorífico tiene al menos dos servicios en escucha. Uno en el puerto 4444 (SSL) y otro en el puerto 8888. El servicio en el puerto 4444 requiere un certificado cliente para la mayoría de las solicitudes, aunque no todos se validan contra el lado del cliente. El grupo sospecha que se utiliza por la aplicación móvil y, por lo tanto, el certificado estará en el código de la aplicación.

Los analistas también han trabajado sobre la aplicación móvil. Según informan creen haber encontrado el certificado dentro del almacén de claves. Sin embargo está adecuadamente protegido por contraseña, aunque creen haber conseguido la contraseña ofuscada,

Las cosas de Internet en el Internet de las cosas

Cada vez hay más dispositivos con conexión a Internet. Esto expone al software del dispositivo a los mismos riesgos que cualquier otro sistema conectado a la Red. El Internet de las cosas es más popular cada día y eso abre nuevas puertas a vulnerabilidades, robos de datos, control del dispositivo, etc.  

Estos nuevos dispositivos conectados, como relojes, electrodomésticos, TVs, se encuentran en un ecosistema totalmente nuevo, nunca habían tenido conexión y se enfrentan a problemas totalmente nuevos para ellos, aunque muy conocidos para el software normal.

Los fabricantes de este tipo de sistemas conectados (electrodomésticos, cámaras, TVs, etc.) deben tomar conciencia de la importancia que representa la seguridad del dispositivo y no cometer los mismos fallos que la industria del software lleva años pagando.

Más información:

RF28HMELBSR/AA

Hacking DefCon 23’s IoT Village Samsung fridge

IOT Village


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada