Estos dispositivos pueden ser útiles para el robo de datos
Investigadores en ciberseguridad han informado que algunas bombillas inteligentes son adecuadas para la filtración de datos desde dispositivos personales, y pueden filtrar preferencias multimedia del usuario afectado, registrando los patrones de luminiscencia a la distancia. Para que estas fuentes de iluminación se conviertan en un vector de ataque, primero deben cumplir algunos requisitos, como soporte para visualización de contenido multimedia y contar con características de infrarrojo.
El atacante no necesita comprometer la red interna de la víctima para extraer la información. Sólo se necesita una conexión directa entre el dispositivo seleccionado y las fuentes de iluminación, y un campo visual suficientemente amplio durante el proceso de extracción de información.
Se pueden inferir los gustos musicales de la víctima
Los especialistas en ciberseguridad que llevaron a cabo la investigación estudiaron la forma en la que las bombillas inteligentes LIFX y Philips Hue reciben comandos para reproducir visualizaciones en una habitación y desarrollaron un modelo para interpretar las modulaciones de brillo y color que ocurren cuando se escucha música o se reproduce un video.
Durante la reproducción de audio, el nivel de brillo refleja el sonido de la fuente, mientras que en el caso de las reproducciones de video, las modificaciones reflejan el color dominante y el nivel de brillo en el cuadro de video en turno. La aplicación móvil asociada controla las oscilaciones enviando paquetes formateados especialmente a las bombillas. El modelo creado por los dos investigadores requiere que el atacante cree una base de datos de patrones de luz que pueda usarse para definir el perfil de la víctima del ataque.
Filtración de datos desde dispositivos personales
Para el potencial atacante, la extracción de información desde un dispositivo personal es posible sólo bajo ciertas condiciones, pues la simple observación de patrones de luz no es suficiente en este caso.
Las bombillas inteligentes deben ser compatibles con la iluminación infrarroja y no deben requerir autorización para controlarlas a través de la red local. Además, el hacker necesitaría instalar malware que codifique datos privados del dispositivo seleccionado y los envíe a las bombillas inteligentes. Los investigadores utilizaron dos puntos de observación para capturar los datos: interiores y exteriores, siendo la observación interior la que registró los resultados más precisos, en tanto que una exposición más larga arrojará mejores resultados.
De un conjunto de 100 muestras, 51 canciones fueron inferidas correctamente, mientras que los géneros de 82 canciones fueron igualmente acertados, comentaron los investigadores sobre las pruebas de inferencia de audio.
La extracción de datos fue posible a través de técnicas de transmisión como amplitud y/o modulación por desplazamiento de longitud de onda, utilizando tanto el espectro visible como el infrarrojo de las bombillas inteligentes.
Para probar el método de extracción de datos por infrarrojo, los investigadores en ciberseguridad codificaron una imagen en la fuente y de luz para después decodificarla a diferentes distancias (entre 1 y 50 metros). A 5 metros, la imagen extraída de la fuente es altamente inteligible y su visibilidad se degrada a medida que la captura de datos ocurre a mayores distancias. Sin embargo, incluso a 50 metros se puede obtener una imagen inteligible.
El trabajo de los dos investigadores se encuentra en fase experimental, pero es una muestra de un nuevo posible vector de ataque. Acorde a expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética, limitar la cantidad de luz que sale de nuestros hogares es una medida básica de protección contra la posible proliferación de este ataque en el futuro, para evitar que los atacantes obtengan la mínima información sobre nosotros.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad