Existen más de una decena de vulnerabilidades en los telefonillos inteligentes, que pueden conllevar incluso activar de forma remota la cámara o el micrófono

Team 82, el equipo de investigación de Claroty, empezó una investigación del nuevo intercomunicador inteligente, un dispositivo con cámara que permite ver quién está llamando a la puerta de casa o la oficina. El aparato permite atender el aviso a través del móvil o de un altavoz inteligente. A raíz de ello, el equipo de investigación detectó en el telefonillo inteligente de instalado en la oficina, una serie de vulnerabilidades que podrían permitir a los ciberatacantes ejecutar código de forma remota con el fin de activar y controlar la cámara y el micrófono del dispositivo, robar vídeo e imágenes, o conseguir un punto de entrada en la red.

Los investigadores han encontrado brechas de seguridad que se pueden explotar mediante tres vectores de ataque principales: ejecución remota de código dentro de las redes de área local; activación remota de la cámara y el micrófono del dispositivo y transmisión de datos al atacante; y acceder a un servidor FTP externo e inseguro y descargar imágenes y datos almacenados.

En su primer análisis de este dispositivo, Team82 exploró el firmware, emuló el servidor web local en una Raspberry Pi y comenzó a analizar vulnerabilidades. Los investigadores localizaron fallos graves y violaciones de la privacidad tanto para las organizaciones como para los usuarios particulares afectados. Estos tres vectores de ataque son:

• Ejecución remota de código: dos de las vulnerabilidades encontradas - falta de autenticación para una función crítica (CVE-2023-0354), y una vulnerabilidad de inyección de comandos (CVE-2023-0351) - pueden encadenarse para ejecutar código de forma remota en la red local. Si un dispositivo con brechas de seguridad se expone a Internet, un atacante puede utilizar estos fallos para hacerse con el control del dispositivo, ejecutar código arbitrario y, posiblemente, desplazarse lateralmente en la red de la empresa. Según la página web del fabricante, estos dispositivos son la primera línea de defensa en residencias de ancianos, almacenes, edificios de apartamentos, aparcamientos, centros médicos e incluso viviendas unifamiliares.
• Abrir la cámara de forma remota: otra vulnerabilidad (CVE-2023-0348) puede aprovecharse para activar remotamente la cámara y el micrófono, sin autenticación, y transmitir los datos al atacante. En organizaciones sensibles a la privacidad, como los centros de salud, esto puede hacer peligrar la privacidad del paciente y ocasionar grandes fallos en el sistema.
• Recopilar imágenes activadas por movimiento de todos los interfonos: en este escenario, como la cámara del portero automático se activa con el movimiento, se toman imágenes y se suben a un servidor de almacenamiento de archivos FTP externo e inseguro. Las imágenes están disponibles durante un periodo de tiempo definido en el servidor antes de ser borradas periódicamente. En este intervalo de tiempo, un atacante podría descargar imágenes de los interfonos inteligentes funcionando en cualquier lugar.

Team82 ofrece tres medidas de seguridad para mantenerse protegido en caso de contar con uno de estos dispositivos:

1. Evitar la exposición a Internet: asegurarse de que el dispositivo de una organización no esté expuesto a Internet para cerrar el actual vector de ataque remoto disponible para los ciberdelincuentes. Sin embargo, los administradores probablemente perderían su capacidad de interactuar de forma remota con el dispositivo a través de la aplicación móvil SmartPlus.
2. Aislar el dispositivo: dentro de la red de área local, Team82 aconseja a las organizaciones que segmenten y aíslen el dispositivo del resto de la red de la empresa. Esto evita cualquier movimiento lateral que un ciberdelincuente con acceso al dispositivo pudiera obtener. El dispositivo no sólo debe residir en su propio segmento de red, sino que la comunicación debe limitarse a una lista acotada de endpoints. Además, sólo deben abrirse los puertos necesarios para configurar el dispositivo; también se recomienda deshabilitar el puerto UDP 8500 para el tráfico entrante, ya que el protocolo de descubrimiento del dispositivo no es necesario.
3. Cambiar la contraseña: por último, es aconsejable modificar la contraseña predeterminada que protege la interfaz web. Inicialmente la clave predeterminada es débil y está incluida en la documentación del dispositivo, que está a disposición del público.

“La hiperconectividad ha alcanzado niveles nunca vistos. El auge de tecnologías como el 5G, la IA o el cloud ha hecho que se disparen las amenazas hasta el punto de poner en jaque la privacidad de los datos de muchos usuarios. Los dispositivos IoT están experimentando una tendencia alcista que está lejos de detenerse.”, afirma José Antonio Sánchez Ahumada, director de ventas para España y Portugal en Claroty.