Amenazas destacadas: Las vulnerabilidades de las aplicaciones IoT dejan los dispositivos IoT abiertos a los ataques.

Los dispositivos IoT volvieron a ser regalos populares en estas fiestas. Acrónimo de Internet de las cosas, IoT es más que una palabra de moda. La tendencia representa un enorme cambio en la forma de fabricar y utilizar los productos, ya que se añade conectividad de red a productos que antes no estaban destinados a tener esta funcionalidad. Por ejemplo, su frigorífico que le envía un mensaje de texto cuando se queda sin leche: IoT. Su termostato que proporciona gráficos de uso en su teléfono: sí, IoT. Básicamente, cualquier dispositivo de consumo capaz de conectarse a una red que no sea un ordenador, un teléfono, una tableta o un router se considera un dispositivo IoT.

Sin embargo, la seguridad ha sido una gran preocupación con los dispositivos IoT. Aunque se han realizado mejoras, siguen existiendo nuevos tipos de vulnerabilidades. Por ejemplo, los equipos de Barracuda Labs utilizaron recientemente una cámara de seguridad IoT para ayudar a ilustrar una nueva amenaza: el compromiso de las credenciales IoT, que utiliza las vulnerabilidades de las aplicaciones web y móviles para comprometer los dispositivos IoT.

Seguridad de IoTAmenaza destacada:

Compromiso de las credenciales de IoT: los atacantes pueden utilizar las vulnerabilidades de las aplicaciones web y las aplicaciones móviles utilizadas por ciertos dispositivos IoT para adquirir credenciales, que luego pueden utilizarse para ver la transmisión de vídeo, establecer/recibir/eliminar alarmas, eliminar los clips de vídeo guardados del almacenamiento en la nube y leer la información de la cuenta. Los atacantes también pueden utilizar las credenciales para impulsar su propia actualización de firmware en el dispositivo, cambiando su funcionalidad y utilizando el dispositivo comprometido para atacar a otros dispositivos en la misma red.
Los detalles:

Para ilustrar esta amenaza, el equipo de Barracuda Labs realizó recientemente una investigación sobre una cámara de seguridad conectada e identificó múltiples vulnerabilidades en el ecosistema de la aplicación web y la aplicación móvil de la cámara:

La aplicación móvil ignora la validez del certificado del servidor
Cross-site scripting (XSS) en la aplicación web
Travesía de archivos en un servidor en la nube
El usuario controla el enlace de actualización del dispositivo
Las actualizaciones de los dispositivos no están firmadas
El dispositivo ignora la validez del certificado del servidor

Utilizando estas vulnerabilidades, el equipo fue capaz de realizar los siguientes ataques para adquirir credenciales y comprometer un dispositivo IoT, todo ello sin una conexión directa con el propio dispositivo.

Adquisición de credenciales desde la aplicación móvil

Si un atacante puede interceptar el tráfico a la aplicación móvil utilizando una red comprometida u hostil, puede adquirir fácilmente la contraseña del usuario. Así es como funciona:

La víctima se conecta a una red comprometida/hostil con un teléfono móvil.
La aplicación de la cámara conectada intentará conectarse a los servidores del proveedor a través de https.
La red hostil/comprometida enrutará la conexión al servidor del atacante, que utilizará su propio certificado SSL y proxy la comunicación a la
servidor del proveedor.
El servidor del atacante tiene ahora un hash MD5 sin salar de la contraseña del usuario.
El atacante también puede manipular la comunicación entre el servidor del proveedor y la aplicación.

Adquisición de credenciales de la aplicación web

Este tipo de ataque se basa en la funcionalidad que permite a los usuarios compartir el acceso al dispositivo de la cámara conectada con otros usuarios. Para compartir un dispositivo, el receptor debe tener una cuenta válida con el proveedor de IoT, y el emisor debe conocer el nombre de usuario del receptor, que resulta ser una dirección de correo electrónico.

El atacante incrusta un exploit XSS en el nombre de un dispositivo y luego lo comparte con la víctima.
Una vez que la víctima inicie sesión en su cuenta utilizando la aplicación web, el exploit XSS se ejecutará y compartirá el token de acceso (que se almacena como una variable en la aplicación web)
con el atacante.
Con ese token de acceso, el atacante puede acceder a la cuenta de la víctima y a todos sus dispositivos registrados.

A través de esta investigación, el equipo de Barracuda Labs logró comprometer un dispositivo IoT (cámara conectada) sin ninguna conexión directa con el propio dispositivo. Esto facilita la vida a los atacantes. Ya no es necesario escanear en Shodan en busca de dispositivos vulnerables. En su lugar, el ataque se realizará contra la infraestructura del proveedor. Es una amenaza que podría afectar también a otros tipos de dispositivos IoT, independientemente de su función, porque se aprovecha de la forma en que el dispositivo se comunica con la nube.

Al fin y al cabo, los fallos no son inherentes a los productos, sino a los procesos, las habilidades y la conciencia de los desarrolladores. A medida que el acceso y los controles de acceso a los dispositivos IoT se trasladaron a los servicios en la nube, también lo hicieron las vulnerabilidades, haciendo posible los tipos de ataques descubiertos por el equipo de Barracuda Labs.

Lecciones para los fabricantes de IoT

Los proveedores que crean soluciones de IoT deben proteger todos los aspectos de las aplicaciones utilizadas para ejecutar esos dispositivos. Los dispositivos IoT son sensores distribuidos en hogares, escuelas y oficinas, y son puntos de entrada potenciales para los atacantes. La red de cada cliente es una apertura al núcleo del servidor y a otros clientes.

Un cortafuegos de aplicaciones web, una de las protecciones más importantes que los fabricantes de IoT deben implantar, está diseñado para proteger los servidores del tráfico HTTP en la capa 7. Los fabricantes también deben reforzar la protección contra los ataques de la capa de red y el phishing.

La seguridad en la nube también es importante, ya que proporciona visibilidad, protección y corrección de las aplicaciones del IoT y de las infraestructuras en las que se ejecutan. El potencial de exposición a movimientos laterales es grande y complejo, por lo que es fundamental tomar las precauciones de seguridad adecuadas.

Cómo protegerse como consumidor

Al comprar un dispositivo IoT, los consumidores deben pensar en la seguridad, además de en la comodidad y, en el precio. He aquí algunos consejos a tener en cuenta:

Investigue al fabricante del dispositivo – Unas pocas empresas que producen dispositivos IoT entienden la seguridad del software. La mayoría son empresas existentes cuya experiencia radica en la fabricación de los productos físicos que se conectan, o bien son startups que intentan sacar los dispositivos al mercado lo antes posible. En ambos casos, a menudo se pasan por alto las medidas adecuadas de seguridad del software y de la red.
Busque las vulnerabilidades existentes en los otros dispositivos de un proveedor – Si un dispositivo tiene una vulnerabilidad, es probable que otros dispositivos con características similares de la misma empresa también sean vulnerables. En última instancia, un proveedor que tiene un historial de dispositivos seguros probablemente construirá dispositivos seguros en el futuro.
Evalúe las respuestas a las vulnerabilidades anteriores: si un proveedor responde a las personas que informan de una vulnerabilidad y la resuelve rápidamente con una actualización del firmware, es un buen augurio para su perspectiva de seguridad y los futuros productos que fabrica.

Por desgracia, la cantidad de información disponible sobre la postura de seguridad de los dispositivos IoT es asombrosamente baja. Lo ideal sería llegar a un mundo en el que todos los productos de IoT tuvieran una calificación de seguridad, al igual que los coches. Los consumidores deberían estar informados antes de invertir en dispositivos IoT.