Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Un estudiante encuentra una vulnerabilidad en las empresas líderes de videoporteros inteligentes

Un estudiante encuentra una vulnerabilidad en las empresas líderes de videoporteros inteligentes

Por Deja un comentario

Un alumno del Instituto de Tecnología de Florida ha descubierto «fallos sistemáticos de diseño» en los principales porteros y cámaras de seguridad inteligentes del mercado, de empresas como Nest o Ring, entre otras

Blake Janes ha descubierto vulnerabilidades en dispositivos fabricados por Ring, Nest, SimpliSafe y otras ocho empresas relacionadas con la eliminación de cuentas de usuario activas. Las vulnerabilidades permiten que una cuenta compartida permanezca activa y continúe accediendo al vídeo a pesar de que parezca haber sido eliminada.

Estas anomalías podrían permitir a posibles atacantes grabar audio y vídeo desde dispositivos vulnerables de manera indefinida sin ser detectados, invadiendo la privacidad de las víctimas en su propia puerta. En casos de acoso electrónico o aquellos en los que una pareja que compartía el acceso a un dispositivo hayan dejado de vivir juntos, esos fallos podrían tener graves repercusiones.

La vulnerabilidad se debía a que los dispositivos se diseñaban de tal manera que las decisiones de conceder el acceso se completan en la nube y no se toman de forma local en la propia cámara o en los teléfonos inteligentes de los usuarios. Los servidores distribuyen listas de control de acceso entre las APIs y los servidores de contenido, creando versiones diferentes de la misma lista.

Fuente: Paper

«Nuestro análisis identificó un fallo sistémico en la autenticación de dispositivos y esquemas de control de acceso para ecosistemas compartidos de Internet de las Cosas», concluye la publicación. «Nuestro estudio sugiere que hay un largo camino por delante para que los vendedores implementen la seguridad y privacidad del contenido producido por los dispositivos IoT.«

Uno de los investigadores informó a los vendedores sobre las vulnerabilidades y también sugirió varias correcciones. Por identificar una vulnerabilidad importante en el conjunto de dispositivos Nido, Google otorgó al estudiante un pago de 3.133 dólares.

Otros proveedores, entre ellos Samsung, se han comunicado con el investigador para tratar las soluciones recomendadas para corregir la vulnerabilidad.

Más información:
Publicación:
https://9f2435ec-cf04-4cff-9ab6-6d1f72c292f8.filesusr.com/ugd/3dcd51_a0127b0928e9440694afcb734541abaa.pdf

Artículo de la Universidad de Florida
https://newsroom.fit.edu/2020/05/26/florida-tech-student-researcher-finds-privacy-flaws-in-connected-security-and-doorbell-cameras

Infosecurity-magazine
https://www.infosecurity-magazine.com/news/flaws-in-leading-doorbell-security/

Acerca de Jesús Álvarez

Jesús Álvarez Ha escrito 38 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.