Hackear regalos de Navidad: poner IoT bajo el microscopio
Si los dispositivos de alta tecnología están en su lista de compras navideñas, vale la pena tomarse un momento para pensar en los riesgos particulares que pueden traer. En las circunstancias equivocadas, incluso un obsequio inocuo puede presentar vulnerabilidades inesperadas. En esta serie de blogs, VERT analizará algunos de los regalos navideños más vendidos de Internet con miras a sus posibles implicaciones de seguridad. Algunos de los riesgos discutidos en esta serie pueden ser exagerados e incluso cómicos, mientras que otros pueden resaltar problemas realistas que quizás no haya considerado.
Mirando un kit de microscopio WIFI
En esta primera entrega de la serie, hablaré de un Wifi kit de microscopio. Hay, sin exagerar, docenas de listados de estos dispositivos en Amazon y la mayoría de ellos parecen ser el mismo hardware o muy similar con diferentes marcas y diferentes accesorios. Siendo los geeks de la ciencia que somos, nuestro equipo se apresuró a comprar uno de estos dispositivos cuando vimos que figuraba como uno de los más vendidos en la guía de regalos navideños de Amazon.
El microscopio en sí es compacto con una rueda para ajustar la lente y algunos botones para encendido, zoom digital y para activar la captura de imágenes. Es necesario conectar una computadora o teléfono inteligente para ver y almacenar imágenes. Desde la guía de inicio rápido, los dispositivos Android e iOS pueden obtener una aplicación de visor llamada «Max See» en sus respectivas tiendas, los usuarios de macOS pueden conectarse a través de USB e iniciar Photo Booth, pero los usuarios de Windows deben descargar un programa para acceder a la cámara a través de USB o IP.
Revisión de las implicaciones de seguridad
La cuestión de si se debe instalar software adicional para utilizar un dispositivo es una cuestión importante desde la perspectiva de la seguridad. La instalación de software en un sistema generalmente amplía la superficie de ataque y, desde una perspectiva puramente de seguridad, debe evitarse cuando sea posible.
En esta métrica, es preferible el hecho de que macOS pueda acceder a la cámara sin software adicional. Sin embargo, para un usuario de Windows, existe un riesgo incluso antes de que se instale el software porque las instrucciones no especifican el uso de una conexión HTTPS al descargar el software de la cámara, lo que hace posible que un atacante en la red pueda reemplazar el programa descargado con malware. Sin embargo, suponiendo que se descargue un programa auténtico, el riesgo de usar este programa para acceder al microscopio a través de USB debería ser mínimo.
Con el caso de uso de Android e iOS, la superficie de ataque es algo diferente debido a la conexión WiFi. El microscopio funciona actuando como un punto de acceso inalámbrico sin contraseña y haciendo que el dispositivo móvil se conecte con la aplicación del proveedor. Esto puede significar que el teléfono o la tableta permanezcan en una configuración insegura en la que puede conectarse automática e inesperadamente al punto de acceso de un atacante en el futuro. Esto también significa que un atacante cercano puede inyectar mensajes maliciosos o falsificar completamente el microscopio. Un atacante que está cerca cuando el microscopio está en uso probablemente podría desautorizar a la víctima del microscopio legítimo y luego producir un nuevo punto de acceso haciéndose pasar por la cámara pero enviando respuestas maliciosas.
Los decodificadores de protocolos de red y multimedia son históricamente una fuente común de fallas de corrupción de memoria, pero estos riesgos se pueden minimizar en gran medida mediante el uso de bibliotecas de plataforma bien probadas. En este caso, sin embargo, al extraer el contenido de la aplicación de Android se revela un archivo .so de 7 MB que es responsable de manejar las comunicaciones del dispositivo. Un análisis estático superficial de este binario revela que contiene funcionalidad para analizar respuestas RTP y datos MJPEG. No dediqué tiempo a analizar este archivo y encontrar ejemplos concretos de vulnerabilidad, pero no tengo ninguna duda de que hay algo que encontrar.
En el peor de los casos, un atacante podría desarrollar un exploit para lograr la ejecución del código en un teléfono o tableta cercano utilizando uno de estos microscopios. La ejecución de código arbitrario en el contexto de esta aplicación de Android permitiría al atacante acceder a las fotos de la víctima y a cualquier otro mensaje almacenado localmente en el dispositivo.
Construyendo gadgets con la seguridad en mente
Las posibilidades de que alguien se preocupe lo suficiente como para desarrollar un exploit para esta plataforma son escasas y las posibilidades de que usted mismo sea el objetivo de tal exploit son aún más escasas. Mi punto con esta publicación no es afirmar que el cielo se está cayendo o argumentar en contra de comprar dispositivos divertidos, sino dar un ejemplo de cómo evaluar algunos riesgos menos obvios de una tecnología determinada. Esta es una perspectiva importante para mantener a medida que construimos y mejoramos los sistemas que usamos todos los días.
Como desarrollador o investigador de vulnerabilidades, una conclusión importante de este ejemplo es cómo la decisión de crear una implementación de análisis personalizada en lugar de usar analizadores del sistema puede introducir vulnerabilidades y crear un grado excesivo de sobrecarga para mantener.
