Hace dos meses os hablábamos de BlueBorne, una serie de vulnerabilidades descubiertas en el protocolo Bluetooth que han puesto en peligro a todos los sistemas operativos, desde Linux, macOS y Linux hasta los sistemas embebidos. Explotando estos fallos de seguridad, un atacante podría lograr tomar el control de cualquier dispositivo, hacer ataques MITM o distribuir malware simplemente con tener el Bluetooth encendido, sin que la víctima tuviera que pulsar ni una sola vez en la pantalla. La peligrosidad de este fallo de seguridad es crítica, por lo que muchos desarrolladores han lanzado ya parches para solucionar las vulnerabilidades, muchos, salvo Google y Amazon, que aún tienen en peligro sus asistentes personales para el hogar.
Los sistemas operativos como Windows, macOS o Linux suelen actualizarse con bastante frecuencia. Otros sistemas móviles, como Android y iOS, aunque con menos frecuencia, también reciben parches de seguridad. Los dispositivos más olvidados por los fabricantes casi siempre con los dispositivos del Internet de las Cosas, desde los routers (sobre todo los de gama baja) que pocas veces reciben parches de seguridad, hasta los asistentes personales que, a pesar de ser el artículo de moda, los fabricantes se olvidan fácilmente de ellos.
Una prueba de ello es que los dispositivos Google Home y Amazon Echo, los dos asistentes personales para el hogar más conocidos y vendidos en todo el mundo, aún siguen estando en peligro, afectados por la vulnerabilidad BlueBorne. Según se estima, más de 20 millones de estos dispositivos, repartidos por todo el mundo, son vulnerables a estas vulnerabilidades, y cualquier pirata informático podría tomar el control de los mismos.
Los peligros son mucho mayores si tenemos en cuenta que para explotar la vulnerabilidad BlueBorne el usuario no tiene que hacer nada ni abrir ningún archivo, además de que prácticamente ninguna solución de seguridad es capaz de detectar este ataque informático. En el siguiente vídeo nos enseñan lo fácil que estomar el control de Amazon Echo, conseguir permisos de superusuario y hacer al asistente personal decir por el altavoz que ha sido hackeado y que le llevemos ante nuestro líder.
Google y Amazon ya han registrado las vulnerabilidades de BlueBorne y tienen un parche, pero aún no ha llegado a muchos usuarios
Las dos compañías son conscientes de estos fallos de seguridad, de los peligros que suponen y de lo fácil que es explotarlos. Amazon, por un lado, ha registrado dos vulnerabilidades utilizadas para llevar a cabo estos ataques, CVE-2017-1000251 y CVE-2017-1000250, mientras que Google cree capaz de proteger sus dispositivos solucionando solo una vulnerabilidad: CVE-2017-0785.
La firma de seguridad que ha descubierto este fallo de seguridad asegura que tanto Google como Amazon ya han lanzado parches para solucionar este fallo de seguridad, aunque los parches aún llegan a un número muy reducido de usuarios. Mientras que Google no ha dado información sobre el número de la actualización que incluye el parche, en el caso de Amazon Echo este es “v591448720“.
En otros equipos y dispositivos, si queremos protegernos de estos ataques bastará con desactivar el bluetooth desde los ajustes. Sin embargo, en los asistentes Google Home y Amazon Echo, el Bluetooth no se puede desactivar, por lo que no hay forma de protegerse de estos ataques, salvo desconectarlos.
Fuente:https://www.redeszone.net/2017/11/16/blueborne-afecta-google-home-amazon-echo/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
