Los dispositivos conectados se encuentran en aumento y este año se ha llegado a una cifra psicológica: ya hay más dispositivos conectados a internet que habitantes en el mundo. La comodidad que ofrecen los servicios de estos dispositivos, como el Chromecast o el Google Home, no debería hacernos olvidar de un hecho evidente: son una puerta abierta a cualquier ataque a través de internet y un potencial peligro para la privacidad.
Un estudio reciente del investigador en seguridad Craig Young, de Trip Wire, ha demostrado que estos dos populares dispositivos de Google cuentan con un agujero de seguridad que cualquier persona con las habilidades necesarias puede explotar para obtener información sobre la geolocalización precisa de cualquier usuario.
La vulnerabilidad se puede aprovechar si cuentas con un dispositivo Home o Chromecast conectado en tu red particular. El problema, básicamente, es que estos artículos no requieren una autenticación cuando los comandos provienen de la misma red local: se confía en el resto de dispositivos que comparten la misma conexión.
A partir de un reenlace de DNS, un atacante puede hacerse pasar por otro dispositivo conectado a la red local, aunque su conexión provenga de fuera, y con este primer engaño ya puede empezar a hacer peticiones al hardware de Google. De ahí, puede extraer una lista de redes WiFi cercanas y con estas y los servicios de ubicación de Google, se acaba por descubrir de forma muy precisa la ubicación física exacta de los dos dispositivos.
Un descubrimiento inesperado
Según apunta el investigador, este agujero de seguridad lo encontró mientras preparaba un ejercicio para su entrenamiento de Black Hat, la convención de hackers y seguridad que se celebrará entre el 4 y el 9 de agosto en Las Vegas.
Mientras lo preparaba, detectó dos errores fundamentales de seguridad en el diseño de los dispositivos. De hecho, según explica en su investigación, estos problemas son muy comunes entre los dispositivos IoT (Internet of Things, el internet de las cosas que conforman los dispositivos con conexión a internet):
- Los dispositivos rara vez requieren autenticación para las conexiones recibidas en una red local
- HTTP se usa con frecuencia para configurar o controlar dispositivos integrados
Estos dos errores han sido suficientes para que Young sea capaz de, en cuestión de un minuto, ubicar en un mapa la posición exacta de cualquiera de estas dos piezas de hardware de Google, como demuestra en el siguiente vídeo:
Craig Young compartió el problema en mayo a los mismos desarrolladores de Google, pero alguien dentro de la empresa no le dio importancia y cerró el informe sin aportar una solución al problema. Eso fue hasta que un periodista especializado en seguridad preguntó directamente a Google y entonces, ya sí, empezaron a trabajar en un parche de seguridad que aún no se ha completado.
Vía | Android Police
En Xataka Android | Google Home ya funciona en español: estos son todos los comandos activos que puedes utilizar
Ver todos los comentarios en https://www.xatakandroid.com
VER 0 Comentario