Fueron muchos los investigadores que alertaron a la industria sobre los riesgos de seguridad presentes en los dispositivos de Internet de las Cosas (IoT) antes de que su uso se masificara. Ahora, cuando en prácticamente todos los hogares del mundo hay múltiples dispositivos conectados, se experimentan severos problemas para los usuarios, mencionan especialistas.
Un grupo de investigadores de Avast IoT Lab reveló el hallazgo de severas vulnerabilidades de seguridad en dos de los decodificadores para TV más usados del mundo, fabricados por Thomson y Philips. Acorde al reporte, la explotación de estas fallas permitiría a los actores de amenazas usar malware para botnets e incluso infectar con ransomware un dispositivo afectado.
Esta investigación está a cargo de Vladislav Ilyushin, director de Avast IoT Lab, y el experto Marko Zbirka.
El primer hallazgo de los expertos fue que los dos fabricantes venden decodificadores conectados a la red con puertos telnet abiertos, un protocolo sin cifrar que fue diseñado hace más de 50 años empleado para manejar la comunicación con dispositivos o servidores remotos. Estas debilidades permiten a los actores de amenazas acceder a los dispositivos para lanzar ataques de denegación de servicio (DoS), entre otras variantes de ataque. En las pruebas, los expertos de Avast lograron ejecutar un archivo binario de la botnet Mirai, una variante de ataque muy común entre esta clase de dispositivo.
El equipo de Avast también identificó una falla en la arquitectura los decodificadores de estas compañías, que utilizan la versión 3.10.23 del kernel Linux, instalado el 2016. El kernel actúa como vínculo entre hardware y software, garantizando la correcta ejecución de los decodificadores. El problema es que la compatibilidad con la versión 3.10.23 venció en noviembre de 2017, lo que implica que las correcciones sólo se publicaron por un año; al suspenderse la actualización de fallas de seguridad, miles de usuarios podrían verse expuestos.
Los expertos encontraron múltiples fallas adicionales, como una conexión sin cifrar entre los decodificadores y la aplicación heredada del servicio meteorológico AccuWeather. Un actor de amenazas podría modificar el contenido que visualizan los usuarios.
Para mitigar los riesgos de explotación, los usuarios pueden habilitar las siguientes medidas:
- No conectar el decodificador si no se están usando sus características inteligentes
- Adquirir estos dispositivos sólo con proveedores autorizados
- Ingresar a la interfaz de administración web de su dispositivo para inhabilitar la función Universal Plug and Play (UPnP) en caso de que esté habilitada
Las compañías ya han sido contactadas para notificarles estos hallazgos, aunque no se han pronunciado al respecto.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
