Con la demótica y colonización de nuestras casas por parte de la electrónica cada vez hay más usos cubiertos por algún dispositivo inteligente. Algo que desde hace algo más de un año está en auge son los candados inteligentes por Bluetooth, como el que vimos aquí de Tesa o August, pero en la conferencia DEF CON Hacker de Las Vegas han mostrado que no todos son igual de seguros y que gran parte de los existentes pueden desbloquearse de manera sencilla.
Se trata del trabajo que presentaron hace un par de días los ingenieros Anthony Rose y Ben Ramsey. Una demostración a la que al parecer la mayoría de fabricantes no hizo caso (o no quiso hacerlo), siendo posible el desbloqueo en 12 de los 16 productos probados.
Un método sencillo para una seguridad ajustada
Como en otras ocasiones, la tecnología y los instrumentos que usan para hackear o desbloquear los candados es relativamente sencilla y asequible. Casos como el hackeo al asistente de voz con radio y auriculares, el de los teclados inalámbricos con un dispositivo de 12 dólares o el de los monitores con un malware que veíamos esta mañana.
En esta ocasión se trata de una maniobra realizada con cuatro instrumentos, entre ellos un sniffer Bluetooth (algo así como un rastreador Bluetooth), que como cabe imaginar permite detectar y leer la información de dicha señal. El que en este caso han usado es el Ubertooth, con un coste aproximado de unos 100 dólares. Junto al sniffer los ingenieros requirieron un adaptador de red Bluetooth USB (los encontramos por unos 13 euros), una Raspberry Pi y una antena direccional para ampliar señal.
¿Cómo puede desbloquearse? En algunos casos porque algunos fabricantes lo ponen en bandeja para un dispositivo así, enviando la contraseña en texto plano, de modo que queda completamente descubierta para que se lea y se cambie. Concretamente ocurre en los modelos de Quicklock, iBluLock y Plantraco, haciendo un envío doble de dicha contraseña (del candado al móvil y viceversa), de modo que los ingenieros podían realizar modificaciones en la contraseña original. Más o menos lo resumen en esta frase:
[Se trata de] la escucha pasiva de la conversación entre el candado y la app.
De este modo el usuario no logra accionar el candado, dado que lo estará intentando continuamente con una contraseña incorrecta. Además, el método para resetear el candado es desmontar y montar la batería, pero el acceso a la misma está protegido con el bloqueo por contraseña, ergo necesitaría la nueva contraseña para desbloquearlo.
Se salvan pocos
¿Se libran los que envían la contraseña encriptada? En teoría debería ser así, pero en la práctica al parecer éstos tampoco aprueban el examen contra el sniffer. Al menos en uno de los modelos que protegía la contraseña pudieron lograr el desbloqueo, tomando esta contraseña y enviándola tal cual de vuelta al dispositivo (a lo boomerang). Según muestran, éste se desbloqueó aunque no llegaron a desencriptar la contraseña.
En otros casos los ingenieros aprovecharon los fallos del método de encriptación, enviando paquetes de datos al azar para determinar la respuesta del dispositivo. Lograron abrir el modelo de Okidokey al modificar un sólo byte en la encriptación (por ejemplo lo que muestran en el trabajo, de "b6" a "00", y el de Bitlock con ayuda de una app para el móvil pudiendo acceder al servidor en la nube.
Además de los citados, entre los dispositivos que probaron están los de Kwikset, Masterlock, Vians, Ceomate, Noke, August y Elecycle. De todos ellos sólo lograron esquivar el hackeo los más nuevos de Kwickset, August, Noke y Masterlock los cuales funcionan con autenticación en dos pasos. No obstante, el autor hace alusión de que aunque escapan a este desbloqueo no lo hacen ante un destornillador, citando vídeos de YouTube como éste.
Como decíamos al inicio, lograron desbloquear el candado en un 75% de los casos. Lo que quieren hacer ver con esto es que no todos los candados tienen el mismo grado de seguridad aunque funcionen por Bluetooth, reportando por su parte las respuestas (o más bien ausencias de) por parte de los fabricantes, como recogían en Tom's Guide.
Contactamos con doce fabricantes. Sólo uno respondió, y nos dijo: "Sabemos que es un problema, pero no lo vamos a resolver".
No resulta una maniobra sencilla ni aún teniendo el sniffer todo el mundo podría realizarla, dado que se requieren un mínimo de conocimientos de software relativamente avanzados. Pero llama la atención ver cómo tratándose de dispositivos cuyo uso básico es la seguridad (desde bicicletas hasta casas) se ponga esto de manifiesto. Veremos si los fabricantes, pese a no expresarse de momento, solucionan el problema para evitar este desbloqueo que, además, puede realizarse en un radio de unos 400 metros.
Más información | Picking Bluetooth Low Energy Locks from a Quarter Mile Away
En Xataka | August Smart Lock, una cerradura digital bien diseñada
Ver 12 comentarios