BlackHat: Aprovechando vulnerabilidades en sistemas domóticos de hoteles

hotel1

“¿Te cambiarías de hotel si supieras que un atacante puede tomar el control de los dispositivos de tu habitación?” Esa es la pregunta que nos lanza Jesús Molina, investigador español residente en San Francisco nada más comenzar su charla en la conferencia de seguridad BlackHat que se celebra estos días en Las Vegas.

Molina nos adelantó hace unos días la temática y las lineas generales de su charla, pero no fue hasta este miércoles que conocimos con detalle su interesante experiencia cuando se alojó en el lujoso hotel St. Regis Shen Zen en China.

Fallo de implementación permite tomar el control

“No fui buscando ninguna vulnerabilidad, de hecho, tampoco puede considerarse como hacking lo que realice puesto que solo aproveché las características del protocolo de comunicación del que dispone el hotel y que ofrece a sus huéspedes para controlar todos los aspectos domóticos de su habitación. No modifique ni alteré nada.” afirma Molina.

Este investigador vio como al llegar a su habitación se le ofrecía la posibilidad de controlar varios aspectos de la misma (televisión, persianas, iluminación, etc) a través de un iPad. Esto despertó su curiosidad y empezó a tirar del hilo hasta averiguar que el iPad estaba conectado a una red pública utilizada por los clientes del hotel y esta no se encontraba protegida.

ipad_hotel2

Analizando el protocolo KNX/IP

Además, el protocolo de comunicación que utiliza la aplicación instalada en el iPad para controlar varios dispositivos de la habitación es el KNX/IP, ampliamente utilizado en Europa y China por su facilidad a la hora de implementarlo pero que no está desarrollado pensando en la seguridad. Este protocolo se declara como de código abierto aunque solamente echar un vistazo al código ya cuesta 1000€ y existen estudios informando acerca de sus vulnerabilidades desde 2006.

Precisamente el año pasado recibió una importante actualización aunque, tal y como comenta Molina “No he podido echarle un vistazo aun, pero si alguien me presta 1000€ no tengo ningún problema en revisarlo”. Habría que ver cuantos usuarios de este protocolo siguen utilizando versiones más antiguas o saben siquiera de la existencia de una actualización.

Básicamente, este protocolo asigna una dirección a cada dispositivo de la habitación, de forma similar a lo que hacen nuestros routers domésticos cuando agregamos dispositivos para que se conecten a Internet. Estas direcciones KNX/IP constan de 3 dígitos, tal y como podemos ver en la siguiente imagen de la presentación de Jesús.

hotel_wifi1

Investigando más allá de la habitación

Molina se preguntó si sería posible recopilar las direcciones KNX/IP de todos los dispositivos y consiguió hacerlo instalando la aplicación de control utilizada en el iPad en su PC. Descubrió con sorpresa que estas direcciones seguían un patrón y que eran más o menos secuenciales, por lo que no tardó en obtener un mapa de red donde se mostraban todos los dispositivos conectados en cada habitación del hotel.

Molina destaca que esta operación de recolección de información no fue precisamente difícil puesto que el protocolo KNX/IP no cifra los datos por lo que estos viajaban en claro por la red pública del hotel. “Es posible que hubieran más cosas aparte de estos dispositivos conectados a la red pero no me dedique a investigarlo” comenta Molina ante la pregunta de si sería posible acceder a ordenadores e incluso servidores del hotel que estuviesen conectados a esta misma red.

Posibles soluciones

Ante esta situación Molina comenta que la solución pasa por actualizar las políticas de seguridad y que estas pasen una auditoría de seguridad externa realizada por expertos. “Nunca podemos dejar de lado la seguridad del huésped en un hotel” afirma Molina. Este investigador también comentó que con el panorama actual del Internet de las cosas, cada empresa esta lanzando su propio protocolo de comunicación cerrado y esto va a causar problemas a medio plazo.

Sin duda una charla de lo más entretenida y útil que nos hará pensar a más de uno la próxima vez que en un hotel se nos ofrezca un servicio de control domótico.

Josep Albors

Ruben Santamarta: Descubriendo los secretos de los terminales de comunicación por satélite