Las bombillas inteligentes arrojadas a la basura son una valiosa fuente de información personal.



Los usuarios modernos de varios dispositivos son en su mayoría representantes de la cultura del consumidor. Si algo se rompe, el propietario de la cosa simplemente lo tira, sin pensar en la posibilidad de reparación o en limpiar el dispositivo, eliminando sus datos personales.

Se env√≠an al vertedero discos duros llenos de datos, tel√©fonos con libretas de contactos y datos del propietario, as√≠ como dispositivos inteligentes con contrase√Īas guardadas e inicios de sesi√≥n. Dado que un usuario raro utiliza m√°s de 2-3 inicios de sesi√≥n y contrase√Īas, dichos dispositivos pueden convertirse en una fuente de informaci√≥n valiosa para los crackers.

A pesar del hecho de que dichos dispositivos pueden parecer basura, en realidad son computadoras en miniatura con una amplia gama de características, una de las cuales es almacenar información ingresada previamente. Y lejos de siempre, esta información es inofensiva para el propietario. Como ejemplo, podemos tomar una bombilla inteligente, que fue inspeccionada por los representantes del sitio web de Resultados Limitados para verificar la seguridad de la información.

Los participantes en el experimento compraron una bombilla LIFX inteligente en Amazon por 30 euros en Amazon y la configuraron usando la aplicación adecuada. En particular, la bombilla estaba conectada a WiFi. Luego se desconectaron y desmontaron.



El propósito de los especialistas era pagar: tuve que trabajar duro para obtenerlo y limpiarlo de pegamento. El dispositivo se identificó como una mini PC basada en ESP32D0WDQ6. La hoja de datos del módulo está aquí . SDK y herramientas están disponibles aquí .

La placa se conectó al FT2232H y comenzó a estudiar.





Al final resultó que, los accesos desde la red inalámbrica se almacenaron en claro.



Adem√°s, el dispositivo no est√° en absoluto protegido contra interferencias externas. Sin cifrado, sin descarga segura, nada.



Además, un certificado raíz y una clave privada RSA también estaban disponibles. Después de eso, se completó el estudio de la bombilla.



Por cierto, el especialista no public√≥ sus mejores pr√°cticas inmediatamente despu√©s de descubrir todo esto. Inform√≥ el problema al fabricante, esper√≥ 90 d√≠as y solo despu√©s de eso public√≥ todo. Quiz√°s la compa√Ī√≠a ha cambiado algo, pero quiz√°s no. Sea como fuere, la falta de seguridad de los dispositivos inteligentes modernos es un problema importante del que se ha hablado y escrito durante muchos a√Īos. Pero, desafortunadamente, las cosas siguen ah√≠.

La vulnerabilidad de una bombilla inteligente de este fabricante en particular est√° lejos de ser √ļnica. El a√Īo pasado, representantes del sitio ya mencionado anteriormente piratearon el dispositivo Tuya.

Al igual que la copia anterior, la lámpara se instaló, se conectó a una red inalámbrica y se probó en funcionamiento. Todo resultó genial aquí. Después de desmontar la bombilla y conectarla a una PC.



Exactamente los mismos problemas:

  • Los accesos a la red inal√°mbrica se almacenaron en una bombilla en forma abierta;
  • DeviceID y la clave se almacenaron de manera similar. Por lo tanto, puede reconocer f√°cilmente las bombillas MAC. Adem√°s, se requiere una clave local para el servicio Tuya Cloud, de modo que pueda descargarse y usarse para cualquier prop√≥sito. Tan pronto como el ID del dispositivo y la clave est√©n en manos del atacante, tendr√° la oportunidad de controlar el dispositivo sin seleccionar.

Después del montaje, la bombilla se controló fácilmente utilizando los datos descargados de ella.

En general, el problema no est√° solo en las bombillas. Del mismo modo, los datos se almacenan en varios tipos de dispositivos inteligentes de un tipo diferente, que incluyen c√°maras, altavoces, refrigeradores , hervidores, ollas a presi√≥n , etc. Debido a la d√©bil seguridad de los dispositivos, los crackers pueden crear f√°cilmente botnets, cuyo tama√Īo puede alcanzar muchos miles o incluso millones de dispositivos. Para esto, se utilizan programas maliciosos que, en contraste con la protecci√≥n de dispositivos inteligentes, se est√°n volviendo m√°s sofisticados y peligrosos.

Source: https://habr.com/ru/post/438368/


All Articles