Exclusivo: la falla de August Smart Lock abre su red Wi-Fi a los piratas informáticos

No hay duda de que las cerraduras de puertas inteligentes son increíblemente convenientes. Las funciones como desbloquear la puerta principal con una aplicación de teléfono, registrar todas las entradas y bloquear automáticamente cuando salga del área son excelentes. Si está involucrado en el negocio de alquiler a corto plazo, elegir la cerradura inteligente adecuada significa que puede brindar a los inquilinos acceso temporal durante su estadía, sin necesidad de la complicada tarea de cambiar las llaves de la casa. Aun así, es posible que solo tenga una pequeña preocupación en el fondo de su mente. Los piratas informáticos entraron en la cuenta de Twitter de Kanye West, después de todo. ¿Quizás podrían abrir la puerta de tu casa? Si usa August Smart Lock Pro + Connect, esa es no es el problema. La puerta de tu casa debe permanecer cerrada incluso si todo un hacker krewe pasa gritando: “¡Ábrete Sésamo!” Dicho esto, un agujero de seguridad sin parche en este dispositivo significa que esos piratas informáticos podrían obtener acceso completo a su red Wi-Fi, lo que podría ser su propio tipo de desastre.

Openfotosubse ha asociado con el equipo de seguridad de Internet de las cosas en Bitdefender para responder ese tipo de preguntas. El equipo de piratería de Bitdefender pone a prueba los dispositivos domésticos inteligentes más populares en busca de agujeros de seguridad que los piratas informáticos puedan hacer un mal uso. Al descubrir un problema, el equipo se pone en contacto con el fabricante para darle tiempo para que lo solucione antes de revelar la vulnerabilidad. En el pasado, Ring solucionó un problema de seguridad con uno de sus timbres inteligentes que le habría permitido a un pirata informático tener acceso completo a la red Wi-Fi a la que estaba conectado el dispositivo. Belkin también solucionó un problema similar con su WeMo Smart Plug. Cuando los consumidores obtienen un producto más seguro, todos ganan.

Las cosas sucedieron de manera un poco diferente en nuestra investigación del monitor iBaby. El equipo de Bitdefender encontró una forma para que cualquier propietario de la cámara tuviera acceso a imágenes y videos de cada tal dispositivo. La empresa notificó a iBaby, sin respuesta. Pero después de que publicamos la noticia, iBaby lanzó una solución en unos pocos días. Esa es otra victoria, aunque retrasada.

¿Qué tan inteligente es August Smart Lock?

Para la última ronda de pruebas, el equipo de Bitdefender, dirigido por el experto en piratería ética Alex “Jay” Balan, investigó el August Smart Lock Pro + Connect. Este ha sido uno de nuestros favoritos en el pasado y cuando lo revisamos en 2017, ganó nuestra insignia de Elección de los Editores. August lanzó recientemente una versión con Wi-Fi integrado que también ganó un premio Editors ‘Choice. Lanzada hace tres años, la edición Pro es una cerradura más antigua, pero puede estar seguro de que hay muchas instaladas en puertas de todo el país.

El bloqueo se controla mediante una aplicación de teléfono inteligente. Si está dentro del alcance, la comunicación se gestiona a través de Bluetooth Low Energy (BLE). Si no es así, la aplicación se conecta a través de Internet al puente Connect (de ahí viene “+ Connect”) que, a su vez, controla el bloqueo. El equipo de seguridad descubrió que todos los comandos entre los dispositivos están encriptados y “no se pueden interceptar ni modificar”. Además, el puente al dispositivo Connect solo funciona si el usuario tiene un bloqueo de agosto registrado en la cuenta.

El acceso a la cuenta está protegido y utiliza autenticación de dos factores. Solo el propietario tiene el control total. Entre los poderes del propietario se encuentra la capacidad de dar a otros acceso completo, o simplemente acceso limitado. Sin ese permiso de acceso, los piratas informáticos no pueden abrir la puerta, punto. Solo hay un pequeño problema, uno muy similar al que encontramos con el Ring Video Doorbell …

Solución de Ring

Al igual que el Ring Video Doorbell, August necesita una conexión a su red Wi-Fi local. Sin teclado u otro dispositivo de entrada, no puede simplemente escribir el nombre de usuario y la contraseña. Ambos dispositivos utilizan una técnica común para administrar la conexión inicial. Pones el dispositivo en modo de configuración, lo que hace que actúe como un punto de acceso. Te conectas a ese punto de acceso usando tu teléfono inteligente. Y la aplicación pasa las credenciales de inicio de sesión de Wi-Fi al dispositivo.

El equipo de Bitdefender descubrió un problema con este sistema. Ese intercambio de credenciales no estaba protegido de ninguna manera. Un intruso que escuche la red, incluso sin iniciar sesión en la red, podría capturar las credenciales de Wi-Fi y, por lo tanto, obtener acceso completo. Es cierto que el intruso debe estar escuchando en el momento exacto en que se produce el intercambio, pero los investigadores encontraron una manera de forzar el reingreso de las credenciales.

Implementar este truco requeriría mucha paciencia. El hacker tendría que encontrar un lugar lo suficientemente cerca para escuchar en la red Wi-Fi, tal vez un automóvil estacionado. El ataque que obliga al timbre a desconectarse lleva tiempo. Y el dispositivo no se vuelve a conectar hasta que su propietario se da cuenta de que está fuera de línea e inicia el intercambio.

Ring solucionó rápidamente el problema agregando cifrado al intercambio de transferencia de credenciales.

Vale la pena señalar que una gran cantidad de dispositivos IoT utilizan una técnica similar para conectarse con su red Wi-Fi. Cualquier dispositivo que no cifre el intercambio de credenciales sería vulnerable a este ataque.

La seguridad a través de la oscuridad nunca funciona

Los desarrolladores de agosto tuvieron un buen comienzo para manejar mejor las cosas. Construyeron encriptación desde el principio, por lo que un fisgón de la red no podía simplemente tomar la contraseña de Wi-Fi, pero codificaron la clave de encriptación en el firmware del dispositivo.

Intentaron ocultarlo. Según Bitdefender, la clave en sí está encriptada usando un cifrado extraordinariamente simple llamado ROT-13, para rotar 13. Imagine dos discos con las 26 letras alrededor del borde. Gire uno por 13 lugares. Ahora A se convierte en N, B se convierte en O, y así sucesivamente. No es exactamente ciencia espacial. Los desarrolladores confiaron en ocultar la clave en lugar de protegerla.

Para obtener detalles precisos de lo que encontró el equipo y cómo un pirata informático podría robar sus credenciales de inicio de sesión de redes Wi-Fi, puede leer el documento técnico o la publicación de blog de Bitdefender sobre el tema.

¿Esta arreglado? Bueno no

Bitdefender notificó a August de este problema en diciembre pasado. August respondió con una propuesta de divulgación mutua que se llevaría a cabo en junio de 2020. Después de eso, la comunicación se interrumpió. Bitdefender siguió intentándolo durante unos meses más, pero finalmente optó por revelar el problema. Según los protocolos de divulgación responsable, los investigadores que encuentran un problema generalmente le dan a la empresa 90 días para idear una solución. En este caso, Bitdefender esperó casi tres veces más.

¿Qué podrían hacer los piratas informáticos?

Entonces, la mala noticia es que un pirata informático muy paciente podría obtener acceso completo a su red Wi-Fi utilizando este agujero de seguridad. Me comuniqué con Jay Balan de Bitdefender para saber qué tan malo era. “La gente cree que sus redes domésticas son seguras”, señaló Balan. “Todos sufrimos este sesgo. Todos sentimos que algo es seguro porque está en nuestra red privada. Como tal, todas nuestras medidas de seguridad son extremadamente relajadas en nuestras redes domésticas”.

Continuó señalando algunos escenarios específicos. Las impresoras de red se comunican sin cifrado ni autenticación, por lo que un atacante podría capturar y filtrar cualquier documento que imprima. Si utiliza un dispositivo de almacenamiento conectado a la red (NAS) local para las copias de seguridad, es muy probable que reciba archivos no protegidos para la copia de seguridad, lo que una vez más le da al atacante acceso completo. Al monitorear las comunicaciones entre los dispositivos de IoT y otros dispositivos en la red, un pirata informático podría obtener el control de esos dispositivos. Balan concluyó: “Combinando la comodidad y la seguridad que se siente en la red privada de su hogar con técnicas de piratería, los piratas informáticos tendrán más facilidad para tratar de diseñar a los usuarios en redes sociales y robar sus credenciales en línea, lanzar ataques de suplantación de identidad, etc.”

Respuesta de agosto

Contactamos a August con nuestros planes para publicar este informe, solicitando comentarios. La respuesta inicial enfatizó el compromiso de August con la seguridad, afirmando: “Mantener la privacidad y la seguridad de nuestros clientes son las principales prioridades para nosotros, ya que son el núcleo de quiénes somos como empresa y cómo se crean nuestros productos.. “Pero pasó a describir la respuesta de la compañía a un problema completamente diferente, una vulnerabilidad basada en hardware llamada Spectra. Curiosamente, la presentación de Black Hat en Spectra no mencionó en absoluto a August, enfocándose en Macs y teléfonos inteligentes vulnerables.

Cuando aclaramos nuestra solicitud de comentarios, un representante de agosto declaró: “El equipo de August está al tanto de la vulnerabilidad y actualmente está trabajando para resolver el problema. En este momento, no tenemos conocimiento de ninguna cuenta de cliente afectada”. Esto es alentador, aunque no lo confirma la interacción de la empresa con el equipo de Bitdefender. El representante también dijo: “El atacante debe saber con precisión cuándo el cliente está configurando el dispositivo Connect. Una vez que Connect está completamente configurado, ya no es vulnerable a este ataque”.

Esa última parte no es realmente cierta, dada la técnica documentada del equipo de Bitdefender para forzar la configuración a realizarse bajo demanda. El comunicado también dijo que solo se ve afectada la conexión con dispositivos Android, no iOS. Bitdefender confirmó que la seguridad mejorada de Apple significa que el ataque no funciona con un dispositivo iOS. Y vale la pena reiterar que esta vulnerabilidad de ninguna manera le da a un atacante el control del bloqueo en sí.

Cuando enciendes el centro de atención de las pruebas de penetración alguna dispositivo, hay una posibilidad decente de que encuentre un agujero de seguridad. No culpamos a August por el mero hecho de que haya surgido una falla. Sin embargo, seguimos preocupados por la respuesta de la empresa. Después de ocho meses, la falla no se ha solucionado y la declaración de la compañía sugiere una comprensión incompleta de lo que está mal.

Para obtener más información sobre cómo mantener segura su hogar inteligente, lea nuestra guía.