¿Pueden robarte las credenciales de Google usando tu nevera?

nevera

La moda de conectar todo tipo de dispositivos a Internet hace tiempo que dejo de sorprendernos para convertirse en algo de lo más habitual. No cabe duda de que las nuevas funcionalidades que esta conexión posibilita pueden ser realmente útiles (o no) para los usuarios. Sin embargo, esta fiebre por la conectividad también genera nuevos riesgos, riesgos presentes en los lugares más insospechados.

La nevera conectada de Samsung

Este tipo de electrodomésticos conectados no son ninguna novedad puesto que ya llevan tiempo con nosotros, solo hay que ver el crecimiento que han experimentado las Smart TV en los últimos años. De hecho, tampoco es la primera vez que hablamos de que alguien vulnera la seguridad de una nevera conectada para realizar actividades maliciosas.

Ya en enero de 2014 nos hacíamos eco de un informe en el que se apuntaba que algunos de los dispositivos utilizados para lanzar una campaña de spam eran dispositivos conectados como Smart TV o neveras. En esta ocasión, el modelo de nevera protagonista es el RFHMELBSR de Samsung que incluye entre sus principales características una pantalla táctil con aplicaciones, como si de una tablet incrustada en la nevera se tratase.

nevera3

Entre las posibilidades que incluye esta “tablet” incrustada en la nevera de Samsung se encuentra la posibilidad de conectarla a Internet vía WiFi para obtener noticias, actualizaciones o sincronizarse con nuestro calendario de Google. En la siguiente imagen podemos ver un ejemplo de esta aplicación, cuando ya ha sido “utilizada” por varios asistentes a la pasada Defcon.

nevera4

Buscando vulnerabilidades en la nevera

Precisamente, fue en esta edición de la Defcon cuando se lanzó el reto de vulnerar la seguridad de esta nevera dentro de la sección Internet of Things Village. La semana pasada, un grupo de pentesters anunció haber descubierto una vulnerabilidad que permitiría a un atacante robar las credenciales de Google de un usuario haciendo un Man-in-the-middle en la red WiFi a la que se conecta la nevera.

Esto es posible debido a que la nevera no valida correctamente los certificados SSL, algo que permitiría a un atacante suplantarlos e interceptar las comunicaciones entre la nevera e Internet. No obstante, para que esto fuera posible, debería primero conseguir conectarse a la WiFi utilizada por la nevera, aunque lo más probable es que esta pertenezca a la red doméstica y la seguridad de la clave no sea lo suficientemente robusta.

Con este tipo de ataques un atacante podría obtener, por ejemplo, las credenciales de Google que se utilizan para sincronizar la aplicación de Google Calendar, pero también otra información que se envíe o reciba a través de las aplicaciones instaladas. La única excepción sería la información que se envía desde el servidor de actualizaciones de Samsung.

Pera esta no fue la única vulnerabilidad encontrada por estos investigadores. También observaron que se podía modificar un firmware para instalar una actualización maliciosa en la nevera. No obstante, aun no han dado con todos los datos necesarios para hacer esta suplantación de firmware aunque aseguran que es cuestión de tiempo.

No podemos olvidar tampoco que este tipo de electrodomésticos también cuentan con una aplicación móvil que permite gestionar algunos aspectos de su funcionamiento o, en el caso concreto de la nevera, incluso dejar notas para otros usuarios. Las primeras investigaciones han permitido encontrar el certificado usado por la aplicación móvil aunque aún no han conseguido vulnerar su seguridad.

El Internet de las cosas y su seguridad

Este tipo de investigaciones demuestra que aun queda mucho por hacer para que todos los dispositivos conectados a Internet de una u otra forma presenten una seguridad aceptable. En este caso estamos hablando de una nevera donde el riesgo es que nos roben unas credenciales de Google pero ya hemos hablado anteriormente de otros dispositivos como coches e incluso armas y cuyos agujeros de seguridad podrían incluso poner en riesgo la vida de los usuarios.

Nosotros mismos pudimos ver en la Defcon alguna de las charlas hablando de este tema e incluso probar la nevera de la que acabamos de hablar y la verdad es que es algo preocupante porque estamos conectando cosas sin ton ni son, incluidos sistemas de gestión de infraestructuras críticas, y no se le suele dar importancia hasta que hay una desgracia.

nevera6

Hace falta que los fabricantes se empiecen a tomar en serio la seguridad de los dispositivos que fabrican cuando quieran conectarlos a Internet. En caso contrario no solo se arriesgan a que su imagen salga mal parada si un atacante se aprovecha de las vulnerabilidades para causar daño los usuarios de sus dispositivos. También es bastante probable que los usuarios tomen acciones legales contra ellos y esto repercuta en cuantiosas multas que podrían evitarse si se preocupan por diseñar dispositivos seguros.

Josep Albors

El falso paquete de Samsung y las encuestas interminables