#TechCrunch: “Las fallas de seguridad permiten que cualquiera pueda husmear en las grabaciones de video de la cámara inteligente Guardzilla – TechCrunch ” #BusinessNews #ValorDelWeb

Advertisements:

Un popular fabricante de sistemas de seguridad inteligente ha ignorado las advertencias de los investigadores de seguridad de que su dispositivo estrella tiene varias vulnerabilidades graves, como permitir que cualquiera pueda acceder al almacén central de la compañía de grabaciones de video cargadas por el cliente.

Los investigadores descubrieron que el sistema de seguridad inalámbrico para interiores más vendido de Guardzilla contiene un conjunto de claves codificadas, que se pueden extraer fácilmente porque la contraseña de la raíz del dispositivo estaba protegida mediante un algoritmo de una antigüedad que hoy en día es fácil de descifrar. Cada dispositivo utiliza el mismo conjunto de claves para cargar grabaciones de video en los servidores de almacenamiento de Amazon Web Services de la compañía. Cualquiera puede usar esas claves para iniciar sesión y obtener acceso total al almacenamiento en la nube de la empresa, y a los datos de clientes cargados desde el dispositivo.

Pero los servidores de almacenamiento siguen siendo vulnerables, incluso en el momento de la publicación, TechCrunch puede confirmar, a pesar de que los investigadores enviaron un correo electrónico privado a la compañía detallando las vulnerabilidades en septiembre.

“Hemos intentado varias vías para ponernos en contacto con Guardzilla, pero no han reconocido el informe”, dijo Tod Beardsley, director de investigación de Rapid7, quien ayudó a coordinar la publicación de los hallazgos de los investigadores.

El equipo de cinco investigadores dijo en su informe que se necesitaron dos tarjetas gráficas de consumo listas para usar solo tres horas para descifrar la contraseña de ocho letras que protege el firmware del dispositivo Guardzilla afectado que se envía con cada dispositivo. Debido a que las claves estaban enterradas en el código, cualquier persona con un dispositivo Guardzilla podría obtenerlas y obtener acceso sin restricciones a los 13 compartimientos de almacenamiento de la compañía alojados en los servidores de Amazon. Los investigadores probaron las llaves, pero no las usaron para acceder a los cubos, dijeron, para evitar el acceso involuntario a los datos de los clientes de Guardzilla.

TechCrunch confirmó que las claves aún estaban activas y vinculadas a los grupos enumerados a partir del miércoles. (No pudimos verificar el contenido de los contenedores, ya que eso sería ilegal).

Las claves de codificación no es una práctica poco común en dispositivos de conexión a internet de fabricación barata, pero se considera una de las peores prácticas de seguridad que un fabricante de hardware puede cometer, ya que es fácil para un pirata informático ingresar a un servidor central que almacena los datos del usuario. Las claves de codificación se han convertido en un problema tan grave que una ley de California recientemente aprobada pronto prohibirá la electrónica de consumo con credenciales predeterminadas y codificadas desde 2020.

La corrección de la vulnerabilidad no solo requiere que se cambien las claves en el servidor, sino también un parche de software que se extenderá en cada dispositivo afectado.

“Podrían actualizar las claves y actualizar el firmware, pero eso simplemente significa que serán redescubiertas de nuevo por las mismas técnicas”, dijo Beardsley. “La única forma en la que se me ocurre arreglar esto por completo es cambiar las claves, instalar un servicio de proxy y actualizar el firmware para usar este servicio de proxy con cuentas únicas por dispositivo”.

“Eso es un cambio bastante significativo, pero es solo una forma de evitar este tipo de problema”, dijo.

Guardzilla recibió tres meses para arreglar el lapso de seguridad y lanzar un nuevo firmware a los dispositivos afectados después de que los investigadores se comunicaron en privado, pero la compañía no reconoció ni solucionó el problema, lo que llevó a los investigadores a hacer públicos sus hallazgos.

Los investigadores también revelaron las vulnerabilidades a la base de datos pública de vulnerabilidades de la Universidad Carnegie Mellon, CERT, que emitirá un aviso el jueves, pero no recibió respuesta de la compañía.

TechCrunch envió varios correos electrónicos a Guardzilla antes de su publicación sin ningún resultado. Después de contactar al agente registrado de la compañía, una firma de abogados en St. Louis, Missouri, el director ejecutivo Greg Siwak respondió horas antes de la publicación, negando que la compañía hubiera recibido correspondencia. Hicimos varias preguntas para aclarar la posición de la compañía, que incluiremos aquí si entran y cuando entren. Siwak insistió en que “las acusaciones son falsas”, pero no dijimos por qué.

Cuando se lo contactó, el ex presidente de Guardzilla, Ted Siebenman, le dijo a TechCrunch que dejó la compañía en febrero, pero afirmó que “no estaba al tanto” sobre los problemas de seguridad en el dispositivo, incluido el uso de claves codificadas.

Los investigadores de seguridad encontraron dos vulnerabilidades más, incluidos varios errores conocidos que afectan el uso continuado del dispositivo de una biblioteca de cifrado OpenSSL desde hace más de dos años. Los investigadores también revelaron en su informe su descubrimiento de “grandes cantidades” de tráfico enviado desde un puerto abierto en el dispositivo al servidor de Amazon de Guardzilla, pero no pudieron explicar por qué.

Guardzilla no dice cuántos dispositivos vendió o cuántos clientes tiene, pero promociona su venta de hardware en varios minoristas importantes de EE. UU., Incluidos Amazon, Best Buy, Target, Walmart y Staples.

Por ahora, lo más seguro es desconectar tu Guardzilla de la pared y dejar de usarlo.

Descargo de responsabilidad: siga este enlace aquí para ver la fuente de este artículo. Imágenes y derechos de contenido para los respectivos propietarios según la fuente. Todos los derechos de autor del propietario de este artículo según la fuente.

Advertisements:

Christiana Jozef

0 Comments

No comments!

There are no comments yet, but you can be first to comment this article.

Leave reply

Only registered users can comment.