El mundo de antivirus

jueves 3 de diciembre de 2020

Ya hemos hablado de bombillas inteligentes (véase las ediciones «Sí que nos importa» y «¿Existen las amenazas si no las vemos?»). Se trató del uso de bombillas hackeadas para transferir la información a través de un dispositivo controlado por los malintencionados que no podía usarse para transferir los datos por Internet. Los investigadores cambiaban el brillo y los colores de las bombillas vulnerables, y la información transferida se registraba con sensores de brillo y color del objetivo o telescopio que enfocaban a los sensores la luz de la bombilla hackeada. El registro de los datos fue asegurado a distancia de 50 metros y a velocidad de 32 bits por secundo. No es mucho.

Pero no es el único método de uso de bombillas vulnerables.

Hay bombillas (se hizo un experimento con Philips Hue) administradas con un ayudante digital con soporte del protocolo de la casa inteligente Zigbee. Zigbee – es un estándar de conexión inalámbrica a través del cual los dispositivos conectados a Internet de las cosas (IoT) se comunican. Este estándar lo usan para sus dispositivos Samsung, Amazon, Philips y muchos otros productores importantes.

Para el ataque fue usada la bombilla Philips Hue con firmware modificado. La implementación del firmware malicioso en la bombilla fue realizada a través de la vulnerabilidad descrita en el año 2017.

Los investigadores prestaron atención al mecanismo de conexión de los nuevos dispositivos a la red– Touchlink, realizado en el protocolo creado a propósito para bombillas inteligentеs, – ZigBee Light Link. La vulnerabilidad ZLL Touchlink permitió a los investigadores controlar cualquier bombilla en la red a distancia (70 metros dentro o 400 metros fuera) con cambio posterior del firmware del dispositivo. Luego la bombilla en cuestión con firmware malicioso se devolvía a la red y podía infectar otras bombillas por cadena.

Usando la bombilla hackeada, se puede irritar a los supuestos usuarios, al cambiar constantemente el color y el brillo de la misma. En ese momento la bombilla tendrá estado “no disponible” en la aplicación de administración, el usuario supondrá que hay problemas de administración de la bombilla y decidirá eliminar la bombilla dañada de su aplicación para posteriormente volver a conectarla. Lo que pasa es que el único modo de restablecer la configuración es eliminar la bombilla de la aplicación y luego darle un comando a la Gateway (Philips Hue Bridge) para volver a detectar la misma. O también el usuario puede decidir tirarla, pero de eso hablaremos más abajo.

Resultó que la Gateway en el momento de implementación de la nueva bombilla en la red inteligente también es vulnerable. El exploit aplicado por los investigadores funciona solo si el usuario elimina la bombilla comprometida y le da un comando a la Gateway de administración para volver a detectarla. Los malintencionados usan la posibilidad de sobrecarga del búfer en la Gateway, al enviarle un gran volumen de datos en el momento de conexión. Es lo que permite instalar malware en la Gateway que a su vez está conectada a la empresa atacada o a la red de hogar.

La vulnerabilidad CVE-2020-6007 se considera como difícil de usar a causa de restricciones estrictas del protocolo Zigbee en cuanto al tamaño de mensajes transferidos. Además, el malintencionado debe estar bastante cerca de la red objetivo para tener control primario de la bombilla. Para atacar a distancia se necesita una antena dirigida y el equipamiento de recepción sensible requerido para interceptar mensajes Zigbee entre la bombilla y la Gateway.

Más arriba hemos supuesto que el usuario puede tirar la bombilla. Y esto también supone ventajas para los atacantes. Lo que pasa es que las bombillas LIFX guardaban accesos a la red inalámbrica sin protección y no usaban cifrado ni descarga segura. Los atacantes tenían disponibles el certificado raíz y la clave privada RSA.

#hackeo #Internet_de las cosas #actualizaciones_de seguridad #acceso_remoto