Tecnología

Vulneran refrigeradores de Samsung por culpa de Gmail

Es un hecho que el internet de las cosas llegó para quedarse, asimismo llegan los problemas, uno de ellos la vulnerabilidad, por ejemplo la de los refrigeradores de Samsung.

Este es otro ejemplo más de un fabricante de un producto conectado que no logra proteger dicho producto, la nevera conectada de Samsung permite a las personas malintencionadas robar las credenciales de inicio de sesión de Gmail de un consumidor, siempre que puedan acceder a la red Wi-Fi del usuario.

Gmail sería la puerta de entrada

La vulnerabilidad, conocida como ataque de hombre en el medio, es posible porque la nevera inteligente de Samsung permite a las personas vincular sus calendarios de Gmail a una pantalla en la puerta de la nevera para que puedan ver los eventos de su día.

Es una característica útil, excepto cuando una persona inicia sesión, el refrigerador dice que proporciona cifrado SSL, pero no puede verificar que el servidor en el extremo de Google tenga el certificado correcto para obtener los datos cifrados.

Simplemente se lo entrega. Esto es similar a un club que dice que comprueba las identificaciones solo para permitir que las personas entren sin mirar la fecha de esas identificaciones.

Sigue leyendo sobre tecnología: Samsung busca fabricar más electrodomésticos en 2019

¿Qué hacer con el Wi-Fi?

Por lo tanto, cualquier persona en la red Wi-Fi del consumidor podría pretender ser el servicio de calendario de Google y enganchar las credenciales de inicio de sesión de Gmail del consumidor.

La vulnerabilidad fue descubierta durante un hackathon en el evento Defcon a principios de este mes y cubierto por The Register el lunes por la mañana.

Pen Test Partners descubrió la debilidad y escribió en su blog sobre la vulnerabilidad y cómo intentó atacar sistemáticamente el refrigerador.

La configuración del electrodoméstico puede ser el problema

La falla fue solo un contratiempo temporal porque no habían intentado las contraseñas correctas o no tenían suficiente tiempo en esta configuración en particular.

Separamos la aplicación móvil y encontramos lo que creemos que es el certificado dentro de un almacén de claves. “Creemos” que hicimos porque tiene un nombre que sugiere esto.

Sin embargo, tiene la contraseña correcta y aún no hemos extraído la contraseña que abre el almacén de claves.

El desafío aquí es que los productos conectados están siendo comercializados por fabricantes que no están necesariamente familiarizados con la importancia de la seguridad.

La industria de dispositivos conectados a Internet necesita crecer y hacerlo rápidamente, antes de que los consumidores pierdan la confianza y los reguladores decidan involucrarse.

Veremos si esto se puede regularizar y dejar los datos personales lejos de las personas que puedan hacer uso de ellos por medio de la red de nuestros electrodomésticos.

Add your widget here