Un alumno del Instituto de Tecnología de Florida ha descubierto «fallos sistemáticos de diseño» en los principales porteros y cámaras de seguridad inteligentes del mercado, de empresas como Nest o Ring, entre otras

Blake Janes ha descubierto vulnerabilidades en dispositivos fabricados por Ring, Nest, SimpliSafe y otras ocho empresas relacionadas con la eliminación de cuentas de usuario activas. Las vulnerabilidades permiten que una cuenta compartida permanezca activa y continúe accediendo al vídeo a pesar de que parezca haber sido eliminada.
Estas anomalías podrían permitir a posibles atacantes grabar audio y vídeo desde dispositivos vulnerables de manera indefinida sin ser detectados, invadiendo la privacidad de las víctimas en su propia puerta. En casos de acoso electrónico o aquellos en los que una pareja que compartía el acceso a un dispositivo hayan dejado de vivir juntos, esos fallos podrían tener graves repercusiones.
La vulnerabilidad se debía a que los dispositivos se diseñaban de tal manera que las decisiones de conceder el acceso se completan en la nube y no se toman de forma local en la propia cámara o en los teléfonos inteligentes de los usuarios. Los servidores distribuyen listas de control de acceso entre las APIs y los servidores de contenido, creando versiones diferentes de la misma lista.

«Nuestro análisis identificó un fallo sistémico en la autenticación de dispositivos y esquemas de control de acceso para ecosistemas compartidos de Internet de las Cosas», concluye la publicación. «Nuestro estudio sugiere que hay un largo camino por delante para que los vendedores implementen la seguridad y privacidad del contenido producido por los dispositivos IoT.«
Uno de los investigadores informó a los vendedores sobre las vulnerabilidades y también sugirió varias correcciones. Por identificar una vulnerabilidad importante en el conjunto de dispositivos Nido, Google otorgó al estudiante un pago de 3.133 dólares.
Otros proveedores, entre ellos Samsung, se han comunicado con el investigador para tratar las soluciones recomendadas para corregir la vulnerabilidad.
Más información:
Publicación:
https://9f2435ec-cf04-4cff-9ab6-6d1f72c292f8.filesusr.com/ugd/3dcd51_a0127b0928e9440694afcb734541abaa.pdf
Artículo de la Universidad de Florida
https://newsroom.fit.edu/2020/05/26/florida-tech-student-researcher-finds-privacy-flaws-in-connected-security-and-doorbell-cameras
Infosecurity-magazine
https://www.infosecurity-magazine.com/news/flaws-in-leading-doorbell-security/
Deja una respuesta