Cada día se revelan más y más fallas de seguridad en múltiples marcas de timbres inteligentes (smart doorbells). Un reciente reporte afirma que los dispositivos de nivel consumidor están repletos de vulnerabilidades que exponen a los usuarios al robo de credenciales, fallas de autenticación y demás errores críticos.
En el informe, a cargo de NCC Group, se evaluaron los mecanismos de seguridad en los timbres de tres fabricantes (Victure, Qihoo y Accfly) llegando a conclusiones poco alentadoras: “Las compañías siguen poniendo a la venta dispositivos con múltiples problemas, mismos que se extienden a los dispositivos de imitación, extendiendo el problema a gran escala”, mencionan los expertos.
Los investigadores encontraron toda clase de problemas de seguridad, muchos de los cuales podrían ser explotados con facilidad por los actores de amenazas. Algunas de las fallas más desconcertantes se relacionan con las aplicaciones móviles empeladas para controlar estos dispositivos, demostrando que los posibles ataques son muy variados.
Los expertos analizaron los siguientes modelos:
- Victure VD300
- Accfly Smart Video Doorbell V5
- Qihoo 360 D819 Smart Video Doorbell
También se analizó un dispositivo identificado sólo como Smart WiFi Doorbell, creado con hardware del fabricante YinXx.
Una de las principales fallas fue detectada en el dispositivo Qihoo, que cuenta con un servicio de DNS no documentado que permitiría la entrega de malware al usuario. Por otra parte, los expertos encontraron un servicio HTTP no documentado ejecutándose en el puerto 80 del timbre Victure.
Sobre las apps móviles para controlar estos dispositivos, los expertos descubrieron que la mayoría de estas usan comunicaciones no cifradas: “En algunos dispositivos ni siquiera se aplica o existe HTTPS; la app móvil de Victure incluso solicita un certificado root a través de una solicitud HTTP”. Como sabrá, la ausencia de cifrado permitiría a los actores de amenazas acceder a información confidencial en el dispositivo y la app, incluyendo nombres de usuario, contraseñas o datos de configuración.
Finalmente, los expertos mencionan que prácticamente todos los dispositivos analizados se ven afectados por severas fallas de diseño a nivel de hardware, que comprometería a miles de usuarios, sobre todo de dispositivos clonados.