Ann Arbor– Un grupo de investigadores de seguridad cibernética en la Universidad de Michigan ni siquiera requirieron una ganzúa para entrar a una casa resguardada con un sistema de seguridad inteligente.
Los investigadores, sin más, hackearon el sistema líder de “hogares inteligentes” obteniendo el código para abrir la puerta de la casa con una aplicación de software, uno de cuatro ataques desarrollados para probar la seguridad de Samsung SmartThings, uno de los sistemas más vendidos. Se cree que este es el primer estudio de una plataforma completa de un sistema de seguridad de hogar funcionando en el mundo real.
“Por lo menos ahora, con la plataforma IoT que miramos -que ha existido ya por varios años- existen importantes vulnerabilidades de diseño desde una perspectiva de seguridad,” dijo Atul Prakash, profesor de ciencias de la computación e ingeniería en la Universidad de Michigan. “Yo diría que está bien usarla como un hobby ahora, pero yo no la utilizaría donde la seguridad sea primordial.”
Earlence Fernandes, un estudiante de doctorado en ciencias de la computación e ingeniería, quien dirigió el estudio, dijo que “dejar que controle sus cortinas de la ventana está probablemente muy bien.”
“Una forma de verlo es pensar si entregaras el control de los dispositivos conectados en tu casa a alguien en quien no confías y después imagina lo peor que podrían hacer con eso y considera si estarías bien con alguien teniendo ese nivel de control”, dijo.
Independientemente de qué tan seguros los dispositivos individuales son o pretenden ser, nuevas vulnerabilidades se forman cuando el hardware como cerraduras electrónicas, termostatos, hornos, rociadores, luces y sensores de movimiento están conectados en red y configurados para ser controlados de forma remota. Esa es la comodidad que ofrecen estos sistemas. Y los consumidores están interesados en eso.
Como prueba del uso cada vez mayor de SmartThings, su aplicación Android que permite administrar los dispositivos domésticos conectados remotamente ha sido descargado más de 100.000 veces. La aplicación en la app store, donde los desarrolladores pueden contribuir SmartApps basadas en la nube y permitir a los usuarios personalizar las funciones, cuenta con más de 500 aplicaciones.
Los investigadores realizaron un análisis de seguridad de los marcos de programación SmartThings’ y para demostrar el impacto de la defectos que encontraron, llevaron a cabo con éxito cuatro ataques como prueba de concepto.
Demostraron una SmartApp que espía sobre la configuración de alguien creando un nuevo código para una cerradura de la puerta y, a continuación, enviaron ese PIN en un mensaje de texto a un hacker potencial. El SmartApp, al que llamaron “lock-pick malware”, fue disfrazado como un monitor de nivel de batería y sólo expresó la necesidad de esa capacidad en su código.
A modo de ejemplo, demostraron que una SmartApp ya existente, de alta calificación, podía ser usada para prácticamente hacer una nueva llave de la puerta, mediante la programación de un PIN adicional en la cerradura electrónica. La SmartApp explotada no fue diseñada originalmente para programar los códigos PIN en las cerraduras.
Demostraron que una SmartApp podría apagar “el modo de vacaciones” en una aplicación independiente que permite programar el tiempo de las luces, persianas, etc., mientras que estas lejos para ayudar a proteger la casa.
Demostraron que una alarma de incendio podría encenderse con cualquier SmartApp enviando mensajes falsos.
¿Cómo es posible todo esto? Los investigadores notaron que los problemas en el sistema de seguridad caen en unas pocas categorías. Un problema común es que la plataforma SmartApps otorga demasiado acceso a los dispositivos y a los mensajes que los dispositivos generan. Los investigadores lo llaman “exceso de privilegio”.
“El acceso SmartThings concede por defecto un nivel de acceso completo para el dispositivo, en lugar de algo más limitado”, dijo Prakash. “Como analogía, digamos que da permiso a alguien para cambiar la bombilla en su oficina, pero la persona también termina consiguiendo acceso a toda la oficina, incluyendo el contenido de sus archivadores.”
Más del 40% de las cerca de 500 aplicaciones examinadas recibieron capacidades que los desarrolladores no especificaron en su código. Así fue como los investigadores pudieron espiar estableciendo códigos PIN de bloqueo.
Los investigadores también descubrieron que es posible que los desarrolladores de aplicaciones implementen un método de autenticación llamado OAut incorrectamente. Este defecto en combinación el exceso de privilegios de acceso de las SmartApps, permitieron a los piratas informáticos programar su propio PIN código en la cerradura.
Por último, el “subsistema de evento” en la plataforma es inseguro. Esta es la secuencia de mensajes que los dispositivos generan a medida que son programados y llevan a cabo las instrucciones. Los investigadores fueron capaces de inyectar eventos erróneos y engañar a los dispositivos. Esa es la forma en que gestionan la alarma de incendios y accionaron el interruptor del modo de vacaciones.
Estos resultados tienen implicaciones para todos los sistemas inteligentes para el hogar.
“La conclusión es que no es fácil asegurar estos sistemas”, dijo Prakash.”Hay múltiples capas en el software y hemos encontrado vulnerabilidades a través de ellos, haciendo que las correcciones sean difíciles”.
Los investigadores compartieron la información con SmartThings en diciembre de 2015 y la compañía está trabajando en correcciones. Los investigadores volvieron a probar hace unas semanas si el código podría ser reprogramado, y lo era.
En un comunicado, funcionarios de SmartThings dijeron que continúan explorando “capacidades defensivas a largo plazo, automatizadas para hacer frente a estas vulnerabilidades.” También están analizando aplicaciones antiguas y nuevas, en un esfuerzo para asegurar que la autenticación adecuada sea puesta en su lugar, entre otras medidas.
Jaeyeon Jung, con Microsoft Research, también contribuyó a este trabajo. Los investigadores presentarán una documento sobre las conclusiones, titulado “Security Analysis of Emerging Smart Home Applications,” el 24 de mayo en el Simposio IEEE sobre Seguridad y Privacidad en San José.
IO SeguridadAtul PrakashEarlence Fernandes