Sabíamos que llegaría este día, el que pondría en evidencia la inseguridad que existe en muchos de los dispositivos del Internet de las Cosas o IoT, que como vimos hace unos días fueron protagonistas de un gran ataque DDoS, donde un ejercito de cámaras IP y dispositivos grabadores fueron los responsables de que algunos de los servicios más populares de internet dejarán de funcionar por unas horas.
Las llamadas bombillas "inteligentes" como las Philips Hue ya han sido blancos de hackeo en el pasado, donde a pesar de que se necesita estar ante una situación bastante complicada, la vulnerabilidad está ahí. En esta ocasión veremos cómo un grupo de hackers, de los llamados white-hat, muestran una nueva vulnerabilidad que no tiene nada que ver con lo mostrado en el pasado, ya que para tomar el control del dispositivo se necesita un drone.
Sólo se necesita un drone y un firmware malicioso
Debido a los hackeos que han sufrido estas bombillas, Phillips ha actualizado la seguridad para que este trabajo sea más complicado, además de que es necesario estar ante un escenario donde el atacante necesita estar en la misma red que las bombillas y tener control de un ordenador local, lo que lo vuelve una tareas compleja y casi imposible.
Pero ahora esta nueva vulnerabilidad no requiere ese tipo de acceso, ya que sólo se necesita engañar a las bombillas para que acepten una actualización de software vía WiFi que explota una debilidad incluida en el sistema Touchlink del sistema ZigBee Light Link, sí, el mismo que ha sido atacado en varios otros dispositivos.
Para instalar este firmware sólo se necesita un drone o un vehículo que pase a menos de 70 metros de donde están las bombillas, donde una vez instalado será posible extraer la clave global AES-CCM del fabricante, lo que permitirá desactivar cualquier nueva actualización y así tomar control total del dispositivo. Pero lo más interesante es que sólo se necesita infectar una bombilla, ya que será ésta la que se encargue de esparcir el firmware entre toda la red y así en máximo 10 minutos hacerse con el control.
Estos hackers pertenecen al Instituto Weizmann de Ciencias y la Universidad de Dalhousie, y su objetivo es mostrar los detalles de la vulnerabilidad para que el fabricante responsable lo arregle cuanto antes. Por lo anterior han publicado todos los detalles de este trabajo, además de que están mostrando un par de vídeos donde se puede ver en acción esta tarea.
En primer lugar vemos como se apoyan en un coche que pasa junto a la puerta del instituto para alterar el comportamiento de las bombillas.
Y en segundo lugar hacen uso de un drone, el cual se acerca a un edificio donde hay varias oficinas de compañías de seguridad, como Oracle, donde las bombillas estaban a 350 metros de altura y fueron programadas para mostrar el código Morse de S.O.S.
Más información | IoT Worm
En Xataka | La gran inseguridad del Internet de las cosas, la culpable del ataque DDoS que noqueó la web
Ver 18 comentarios
18 comentarios
Usuario desactivado
Es que a ver si pasa ya la tonteria esta de la internet de la cosas tontas, que a alguno le va a salir muy cara.
jucargarma
¿donde las bombillas estaban a 350 metros de altura ?
¿Estamos tontos? Pero si es un simple edificio de 6-7 alturas... de ahí a los 350 metros hay un buen trozo
whisper5
La seguridad sigue siendo la cenicienta de la informática y la electrónica, la gran olvidada e ignorada. Se sale al mercado rápidamente y de forma barata, sin entretenerse o gastar dinero en seguridad. La actitud frente a la seguridad suele ser más reactiva que proactiva, y así nos va. Un ejemplo muy claro fue la aplicación WhatsApp, que en sus inicios ni tan siquiera cifraba las comunicaciones y estaba plagada de fallos de seguridad. Simplemente fueron reaccionando a los desastres que iban apareciendo.
runof
Ya no podré dormir tranquilo sabiendo que me pueden encender la luz!
yunguel
A aquién más les interesa que nuestros aparatos domésticos estén contectados es a las mismas empresas que los fabrican, así pueden hacer estadísticas de uso y consumo ya que para el usuario poca utilidad tiene.
bahamuth
Hace falta el drone y que el switch este pasado porq como no lo esté tendrá q estrellar el drone contra el interruptor para pasarlo
Hacen falta tantas variables q no sale rentable hacerlo solo para apagarte La Luz y ya está y vamos las grandes empresas no tienen estas bombillas estas son más de uso doméstico donde el impacto es mínimo
tormescepillin
la humanidad siempre manchando todo con su lado oscuro , Black Mirror': El episodio 'Shut up and dance me hace ver que el internet no es cosa de juego
venzedor
Cada vez mas dispositivos incorporarán conexión y gestión remota, el avance es imparable. La cuestión está en mejorar el nivel de proteccíon.
foxsilver
Hola a todos!
Me he reido con muchos de vuestros comentarios... sobre todo con el de no poder dormir ahora que pueden encender las bombillas desde el coche de enfrente.
( Por otro lado,yo invertiria el tiempo libre en intentar calzarme una chica en lugar de dar vueltas con coche para hackear las casas de los vecinos... pero cada uno tiene su forma de pasar el tiempo )
Lo que si es un asunto serio y creo que es el punto que quiere remarcar la noticia es el hecho de lo fácil que es vulnerar un sistema una vez dentro de la red de la victima ADEMAS de apagar y encender las bombillas se pueden hacer OTRAS muchas más cosas gracias al fallo de seguridad.
Otra opcion es comprarse velas o lamparas solares conectadas a un sensor para encenderse solo de noche... XD