Witch, el grupo británico de derechos del consumidor, encontró vulnerabilidades de todos los niveles de seguridad en 11 timbres inteligentes (IoT) diferentes. Las vulnerabilidades se encontraron en asociación con investigadores de seguridad del Grupo NCC.
La encuesta identificó vulnerabilidades en todos los niveles, que van desde políticas de contraseñas débiles (que permite a los delincuentes adivinar la contraseña predeterminada de fábrica), recopilación excesiva de datos e incluso falta de cifrado, que permite a los ciberdelincuentes acceder a información expuesta con un bajo nivel de protección.
Estas vulnerabilidades, especialmente la falta de cifrado en los datos recopilados, son puertos que pueden dar lugar a otros ataques más graves como averiguar la contraseña de la red a la que está conectado el timbre, permitiendo a los ciberdelincuentes acceder a otros dispositivos conectados a la misma red de timbres.
Los 11 dispositivos probados se compraron en Amazon y eBay, dos de los comercios electrónicos más populares de Estados Unidos. Muchos de estos dispositivos estaban en listas de bestsellers, con críticas y valoraciones positivas. Algunos incluso afirmaron ser “la elección de Amazon”.
Los investigadores encontraron que el timbre inteligente Victure VD300, vendido en Amazon por alrededor de $ 450, envía información no cifrada, incluida la información de la red Wiffi que está conectada para servidores en China. El Qihoo 360 D819, también vendido en Amazon por el mismo rango de precios, graba y almacena el video sin cifrado.
Al igual que las campanas Victure y Qihoo, la cámara de vigilancia inteligente CT-WDB 02 de Tronics también tiene una vulnerabilidad que permite a los atacantes robar contraseñas de la red a la que está conectado.
Algunos dispositivos genéricos sin marca probados por el Grupo NCC también tienen vulnerabilidades que permiten a los ciberdelincuentes descubrir la contraseña WPA2 de la red Wi-Fi, además de otras fallas que si se exploran pueden hacer que el equipo completamente cerrado.
El grupo de derechos del consumidor se puso en contacto con Amazon y eBay sobre los resultados que encontraron. EBay dijo que eliminó los anuncios de venta de productos vulnerables. Pero Amazon dijo que trabaja de conformidad con la ley, además de utilizar herramientas “líderes en la industria” para evitar que se vendan productos inseguros en el sitio.
Fuente: ¿Cuales?
See the original post at: https://thehack.com.br/campainhas-inteligentes-enviam-dados-nao-criptografados-para-china-e-podem-ser-facilmente-invadidas/?rand=48889
