Siempre nos preocupa la seguridad de la propiedad, ya sea una bicicleta dejada cerca de una tienda o un coche en el garaje. Y lo que la gente puede pensar para garantizar el nivel adecuado de seguridad, comenzando con alarmas e instalando cámaras CCTV y terminando con dispositivos de alta tecnología de una nueva generación, entre los que destaca una cerradura “inteligente”. ¿Pero es tan confiable? La mayoría de los dispositivos sofisticados tienen vulnerabilidades graves, de las que incluso el candado más común carece por completo.
Hackear con una etiqueta NFC especial
Desafortunadamente, no todas las cerraduras inteligentes son altamente confiables, un buen ejemplo de ello es el dispositivo inteligente eGeeTouch para maletas. Para piratearlo, puede usar una aplicación en un teléfono inteligente o una etiqueta NFC especial. Este último es un dispositivo “pasivo” que funciona sin fuente de alimentación.
Para activarlo, debe estar dentro de un rango determinado. En este caso, la etiqueta en sí no puede transmitir datos, ya que se utiliza para transmitir información al dispositivo “activo”.
Como resultado, resulta que dicha protección es prácticamente inútil. Durante mucho tiempo ha habido llaves universales para romper la cerradura de una maleta, que son utilizadas legalmente por el personal de seguridad estadounidense. Además, este último puede ser comprado por cualquier persona en AliExpress, y por un centavo.
Autenticación de contraseña a través de servicios en la nube
Para detectar la geolocalización del sitio de instalación, un atacante potencial tendrá suficientes datos del servidor en la nube. La mayoría de las empresas no se preocupan por la privacidad adecuada de sus usuarios, por lo que será bastante fácil obtener esta información.
No será difícil para un pirata informático interferir con el intercambio de datos entre la aplicación en el teléfono inteligente y la cerradura falsificando algunos mensajes.
Entre otras cosas, los atacantes pueden obtener la contraseña, como dicen, de primera mano. Esto puede suceder si está escuchando el servidor en la nube en el momento en que el propietario envía el comando para abrir. Por lo tanto, el ladrón puede repetir el comando en cualquier momento, obteniendo acceso a la propiedad de otra persona.
ID ascendente
El especialista griego Vangelis Stikas probó las cerraduras Tapplock. Durante su investigación, descubrió que el servidor API del fabricante divulga datos de usuario. Para un atacante con buenas habilidades informáticas, esta información ayudará a encontrar la ubicación del dispositivo e incluso a desbloquearlo.
Vangelis demostró que la piratería solo requiere una cuenta Tapplock y una identificación de usuario. Con la ayuda de estos datos, es fácil pasar la autenticación para tomar el control del dispositivo “inteligente” en nuestras propias manos. Vale la pena señalar que los desarrolladores no usan HTTPS, olvidándose por completo de la seguridad de su backend.
Gracias a esta negligencia, un hacker ni siquiera tiene que piratear nada: los números de identificación se asignan a las cuentas de forma incremental. Además, la API no limita la cantidad de llamadas en absoluto, lo que permite a los atacantes obtener información de forma indefinida.
Dirección MAC del dispositivo
Más recientemente, los investigadores de Tripwire han probado el UltraLoq. Como resultado, se descubrió que cualquiera podía abrir el dispositivo. Si un atacante puede obtener datos de servidores en la nube (clave para abrir, dirección MAC local del dispositivo, dirección IP, dirección de correo electrónico del usuario), entonces no le será difícil encontrar físicamente el lugar donde se instaló la cerradura abriendo silenciosamente eso.
Un atacante solo necesita averiguar la dirección MAC de la cerradura, después de lo cual será tan fácil como pelar peras para obtener la “llave” electrónica.
Esta dirección es un identificador único que está equipado con cada dispositivo que tiene acceso a Internet. El dispositivo lo transmite mediante Ethernet, WiFi, Bluetooth y otros protocolos de red. La dirección MAC se puede comparar con una baliza que parpadea constantemente y muestra su ubicación.
No hay recepción contra chatarra
Todos los ejemplos anteriores indican que las cerraduras electrónicas se desarrollan como dispositivos de consumo, por lo que no se trata de protección contra influencias físicas. Hackear un dispositivo inteligente con una ganzúa, un destornillador y un cortador de pernos es muy fácil.
Con las cerraduras ordinarias, todo es diferente: el cuerpo está hecho de una sola pieza de metal, todos los tornillos están ocultos en el interior. Se necesitará mucho tiempo o mucho ruido para romper dicha cerradura.
La mayoría de los candados inteligentes están hechos de plástico. Pueden romperse, quemarse o desmontarse fácilmente en partes, como el automóvil de un niño. Y ninguna contraseña o huella digital podrá proteger la propiedad contra robos.
La conclusión se sugiere por sí misma: antes de comprar una cerradura “inteligente”, debe pensar detenidamente. ¿Vale la pena gastar el dinero que tanto le costó ganar en una seguridad tan dudosa?
Cargando…
