Cuando hackear una bombilla inteligente sirve para robar la contraseña del WiFi e información privada en menos de una hora

Espero que estés de coña, ¿entrar físicamente para robar una clave wifi en una casa, y encima no sacársela al propio router o a un PC que haya por allí, si no desmontar una bombilla físicamente y hackearla? Eso es matar moscas a cañonazos.

Por no hablar de que este artículo es un clickbait de manual, la bombilla guarda la clave del wifi, uhhh que miedo, vaya información más privadaaa... Desde el fallo de las WPS que no se veía un hackeo tan terrible.

Supongo que el caso no es ese, sino que quizá tome una que está fuera; la que se pone en la entrada de la casa, por ejemplo. De todos modos, de una u otra manera se pueden dar casos para aprovecharlo y que no sea absurdo hacerlo de esa manera.

El hackear (de manera general y no solo en lo que a seguridad se refiere), necesita que se sea creativo. Si al ver ese bug solo se te ocurre un ejemplo en el que es absurdo usarlo, cometes el mismo error que me han dicho algunos al mostrarles un bug XSS: "¿Y eso para que sirve? si solo metes html y javascript, no estás entrando al servidor."

De todos modos, la vulnerabilidad no se clasifica como grave directamene, porque en muchos casos no aplica el usarla (como el absurdo que expones).

Dudo mucho que pongas fuera de tu casa una bombilla de 60-200 €, en todo caso el "atacante" tiene que saber que es una bombilla inteligente, que es este modelo en concreto, y como meterle mano para sacar una clave wifi.

Y todo arriesgándote a que te pillen robando una bombilla. Hay mil maneras mejores de conseguir una clave wifi.

En España quizá no (actualmente, no descartes en el futuro), pero te sorprendería que existe más países en el mundo y no solo eso sino que igual si que ponen la bombilla inteligente fuera.

PD: Antes (unos 15 años atrás quizá) nos daba miedo salir con un ordenador portátil de 200USD, ahora ves a diario gente con smartphones de mínimo ese precio, incluso de poco más de mil USD.

El ejemplo del XSS es muy diferente en cuanto a que tu inyectas en la URL (p.ej.) código malicioso para que otra persona entre, no estás atacando al servidor pero si a la página en si porque le estás dando a un usuario un enlace que convenientemente modificado puede resultar en un hackeo a la página.

Bueno...yo por ejemplo cambio la contraseña preestablecida del router.

Y yo... pero la mayoría de gente no sabría ni hacerlo, que tb es normal vamos.

Pero no cambian el pin wps por defecto

No tiene ningún mérito, esto mismo podrían haberlo hecho con una smartTV o una nevera "inteligente", cuando hackear implica acceso físico al dispositivo en cuestión, pierde el sentido en la mayoría de casos.

Bueno, algo de mérito yo sí creo que tiene, aunque sólo sea por reconocer la curiosidad que tenía la persona para desmontar la bombilla y mirar cómo se almacenaban las credenciales de la conexión WiFi, pero de ahí a considerar esto un hackeo me parece excesivo.

El problema es que ahora a cualquier acceso a la información se le llama hackeo, a cualquier dispositivo con conectividad tcp se le llama smart y a cualquier algoritmo chorras de ITTT se le llama IA.