imágenes falsas
Un controlador de puerta de garaje líder en el mercado está tan plagado de graves vulnerabilidades de seguridad y privacidad que el investigador que las descubrió aconseja a cualquiera que use uno que lo desconecte de inmediato hasta que se reparen.
Cada dispositivo de $80 que se usa para abrir y cerrar las puertas del garaje y controlar las alarmas de seguridad del hogar y los enchufes inteligentes emplea la misma contraseña universal fácil de encontrar para comunicarse con los servidores Nexx. Los controladores también transmiten la dirección de correo electrónico no encriptada, la identificación del dispositivo, el nombre y la última inicial correspondiente a cada uno, junto con el mensaje requerido para abrir o cerrar una puerta o encender o apagar un enchufe inteligente o programar dicho comando para más tarde. tiempo.
Desconecte inmediatamente todos los dispositivos Nexx
El resultado: cualquier persona con una formación técnica moderada puede buscar en los servidores Nexx una dirección de correo electrónico, un ID de dispositivo o un nombre determinados y luego emitir comandos al controlador asociado. (Los controladores Nexx para alarmas de seguridad para el hogar son susceptibles a una clase similar de vulnerabilidades). Los comandos permiten abrir una puerta, apagar un dispositivo conectado a un enchufe inteligente o desactivar una alarma. Peor aún, durante los últimos tres meses, el personal de Nexx, con sede en Texas, no ha respondido a múltiples mensajes privados que advierten sobre las vulnerabilidades.
“Nexx ha ignorado sistemáticamente los intentos de comunicación míos, del Departamento de Seguridad Nacional y de los medios”, escribió en un comunicado el investigador que descubrió las vulnerabilidades. mensaje publicado el martes. “Los propietarios de dispositivos deben desconectar inmediatamente todos los dispositivos Nexx y crear tickets de soporte con la empresa para solicitarles que solucionen el problema”.
El investigador estima que más de 40 000 dispositivos, ubicados en propiedades residenciales y comerciales, se ven afectados y más de 20 000 personas tienen cuentas Nexx activas.
Los controladores Nexx permiten que las personas usen sus teléfonos o asistentes de voz para abrir y cerrar las puertas de su garaje, ya sea a pedido o en momentos programados del día. Los dispositivos también se pueden usar para controlar las alarmas de seguridad del hogar y los enchufes inteligentes que se usan para encender o apagar los electrodomésticos de forma remota. El centro de este sistema son los servidores operados por Nexx, a los que se conectan tanto el teléfono o el asistente de voz como el abridor de la puerta del garaje. El proceso de cinco pasos para inscribir un nuevo dispositivo se ve así:
- El usuario utiliza la aplicación móvil Nexx Home para registrar su nuevo dispositivo Nexx con Nexx Cloud.
- Detrás de escena, Nexx Cloud devuelve una contraseña para que el dispositivo la use para comunicaciones seguras con Nexx Cloud.
- La contraseña se transmite al teléfono del usuario y se envía al dispositivo Nexx mediante Bluetooth o Wi-Fi.
- El dispositivo Nexx establece una conexión independiente con Nexx Cloud utilizando la contraseña proporcionada.
- El usuario ahora puede operar la puerta de su garaje de forma remota utilizando la aplicación móvil Nexx.
Esta es una ilustración del proceso:
sam sabetan
Una contraseña universal fácil de encontrar
Para que todo esto funcione, los controladores utilizan un protocolo ligero conocido como MQTT. Abreviatura de Message Queuing Telemetry Transport, se usa en redes de bajo ancho de banda, alta latencia o inestables para fomentar una comunicación eficiente y confiable entre dispositivos y servicios en la nube. Para ello, Nexx utiliza un modelo de publicación para suscripciónen el que se envía un único mensaje entre los dispositivos suscritos (el teléfono, el asistente de voz y el abre-puertas de garaje) y un intermediario central (la nube Nexx).
El investigador Sam Sabetan descubrió que los dispositivos usan la misma contraseña para comunicarse con la nube Nexx. Además, esta contraseña se puede obtener fácilmente simplemente analizando el firmware enviado con el dispositivo o la comunicación de ida y vuelta entre un dispositivo y la nube Nexx.
“Usar una contraseña universal para todos los dispositivos presenta una vulnerabilidad significativa, ya que los usuarios no autorizados pueden acceder a todo el ecosistema al obtener la contraseña compartida”, escribió el investigador. “Al hacerlo, podrían comprometer no solo la privacidad sino también la seguridad de los clientes de Nexx al controlar las puertas de su garaje sin su consentimiento”.
Cuando Sabetan usó esta contraseña para acceder al servidor, encontró rápidamente no solo comunicaciones entre su dispositivo y la nube, sino también comunicaciones para otros dispositivos Nexx y la nube. Eso significaba que podía filtrar las direcciones de correo electrónico, los apellidos, las iniciales y las identificaciones de dispositivos de otros usuarios para identificar a los clientes en función de la información única compartida en estos mensajes.
Pero se pone peor aún. Sabetan podía copiar mensajes emitidos por otros usuarios para abrir sus puertas y reproducirlos a voluntad, desde cualquier parte del mundo. Eso significaba que una simple operación de cortar y pegar era suficiente para controlar cualquier dispositivo Nexx sin importar dónde estuviera ubicado.
A continuación se muestra un video de prueba de concepto que demuestra el truco:
Vulnerabilidad del garaje inteligente NexxHome (CVE-2023-1748).
Este evento trae a la mente el gastado cliché de que la S en IoT, abreviatura del término genérico Internet de las cosas, significa seguridad. Si bien muchos dispositivos IoT brindan comodidad, una gran cantidad de ellos están diseñados con protecciones de seguridad mínimas. El firmware desactualizado con vulnerabilidades conocidas y la incapacidad de actualizar son típicos, al igual que una miríada de fallas, como credenciales codificadas, omisiones de autorización y verificación de autenticación defectuosa.
Cualquiera que use un dispositivo Nexx debería considerar seriamente deshabilitarlo y reemplazarlo por otro, aunque la utilidad de este consejo es limitada ya que no hay garantía de que las alternativas sean más seguras.
Con tantos dispositivos en riesgo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. emitió un aviso que sugiere que los usuarios tomen medidas defensivas, que incluyen:
- Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, y asegurarse de que estén no accesible desde Internet.
- Ubicar redes de sistemas de control y dispositivos remotos detrás de firewalls y aislarlos de las redes comerciales.
- Cuando se requiera acceso remoto, use métodos seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que VPN es tan segura como sus dispositivos conectados.
Por supuesto, esas medidas son imposibles de implementar cuando se usan los controladores Nexx, lo que nos lleva de vuelta a la inseguridad general de IoT y el consejo de Sabetan de simplemente deshacerse del producto a menos que o hasta que llegue una solución.