¡Llegamos a 26.150.300 visitas gracias a ustedes! ☆

Dispositivos de tu casa hackeados

De WikicharliE
Banner espionaje.jpg

Fantasmas, extraterrestres, ... no, HACKERS!

Hackers Virnauta WikicharliE.jpg

Cada vez nuestros hogares se equipan con más y más electrodomésticos y gadgets que nos hacen la vida más fácil y que pueden controlarse desde Internet. No obstante si alguien fuera capaz de controlarlos nos veríamos absolutamente expuestos en nuestra intimidad e incluso seguridad.[1]

WikicharliE Patrimonio de Chile

Contenido

1 Router Cisco Linksys WRT54GL

Descripción

Router de banda ancha Wireless-G con dos antenas externas y 4 puertos ethernet.

Vulnerabilidad

La no-validación del parámetro wan_hostname puede permitir inyectar y ejecutar comandos de shell.

Consecuencias

Un atacante remoto podría conseguir permisos de root obteniendo así el control total del router. Con ello podría por ejemplo modificar la configuración WiFi, cambiar las IPs de los DNS en el servidor DHCP, añadir rutas, etc.[2]

2 Receptor de satélite NBOX 5800SX ENIGMA2

Descripción:

Receptor/decodificador en alta definición con doble sintonizadora y disco duro de 250gb

Vulnerabilidad

El dispositivo implementa el sistema de acceso Conax con la funcionalidad chipset pairing que tiene diversas debilidades

Consecuencias:

Un atacante podría capturar la señal decodificada y distribuirla en Internet.[3]

3 Televisión Samsung UE46F6400

Descripción:

Televisor LED 3D de 46 pulgadas con SmartTV (Full HD 1080p, Clear Motion Rate 100 Hz)

Vulnerabilidad:

Fallo que permite el acceso root al shell del firmware basado en Linux.

Consecuencias:

Control total. Un atacante podría por ejemplo acceder al contenido del TV o de cualquier dispositivo USB conectado o incluso espiar al usuario activando la cámara y el micrófono remotamente.[4][5]

4 Media center Apple TV 2 con XBMC 11

Descripción:

Reproductor que permite ver películas de iTunes en 1080p HD, escuchar música y ver fotos de iCloud y usar AirPlay para reproducirlas desde otros dispositivos y, si se le realiza un jailbreak, utilizar XBMC uno de los principales distribuciones para mediacenters bajo la licencia GNU/GPL.

Vulnerabilidad:

Directory traversal en el servidor web

Consecuencias:

Un atacante podría leer remotamente cualquier archivo con los mismos privilegios que tenga el usuario que está ejecutando XBMC. Se ha publicado incluso un módulo en Metasploit.[6]

5 Teléfono Cisco Unified IP Phone 6941

Descripción:

Teléfono IP con conexión Gigabit ethernet y pantalla a color.

Vulnerabilidad:

Fallo al validar las llamadas al kernel desde aplicaciones corriendo en el espacio de usuario.

Consecuencias:

Aunque parece que para ejecutar el exploit es necesario validarse previamente por SSH (o tener acceso físico al dispositivo) si se consigue el atacante tendría acceso como root al teléfono y podría cambiar su programación, actuar sobre los leds, capturar llamadas, etc.[7]

6 Termostato Radio Thermostat Company of America CT 80

Descripción:

Termostato universal que puede controlar casi cualquier sistema residencial común HVAC. Soporta hasta 3 etapas de calor, 2 etapas de frío, bombas de varias etapas de calor, humidificadores, deshumidificadores y deflectores de aire externos. Puede mostrar mensajes de texto y consumo de energía.

Vulnerabilidad:

No es necesario ninguna autenticación para usar el API.

Consecuencias:

Cualquier usuario en la misma red del dispositivo podría cambiar la temperatura, el modo de operación o la configuración wifi.[8]

7 AlertMe/Zigme

Descripción:

Sistema modulable de control de la seguridad del hogar con múltiples componentes como sensores de ventanas y puertas, detectores de movimiento, alarmas, cámaras, etc.

Vulnerabilidad:

Los componentes del sistema utiliza el protocolo inalámbrico Z-Wave que aunque implementa cifrado AES en sus comunicaciones pone en claro el intercambio de claves inicial.

Consecuencias:

Un atacante podría interceptar las comunicaciones y obtener el control de los dispositivos.[9]

8 RP40 multiCLASS® Reader

Descripción:

Lector RFiD compatible con tarjetas HID Prox, Microprox, iCLASS y MIFARE.

Vulnerabilidad:

La longitud y tipo de clave (PIN numérico) y la carencia de otras contramedidas permiten el uso de ataques de fuerza bruta.

Consecuencias:

Sólo conociendo la IP del dispositivo es posible lanzar un ataque de fuerza bruta con éxito y rapidez. La consecuencia es la apertura inmediata de la puerta.[10]

9 TP-Link TL-SC3171 IP Camera

Descripción:

Cámara de vigilancia de Día/Noche con 12 LEDs infrarrojos y video en tiempo real en cualquier lugar desde el iPhone y otros teléfonos 3G populares.

Vulnerabilidad:

Múltiples vulnerabilidades pueden permitir la inyección remota de comandos, el uso de credenciales "hard-coded" o la evasión de autenticación.

Consecuencias:

Control total de la cámara. Su explotación más común es la obtención remota de vídeo en tiempo real (incluso de noche) de la víctima.[11]

10.- LIXIL Satis Toilet

Descripción:

Inódoro inteligente que automatiza la apertura y cierre de la tapa, activa automáticamente el agua, higieniza, ahorra energía... y hasta tiene música.

Vulnerabilidad:

La aplicación Android "My Satis" tiene fijada (hard-coded) el pin bluetooth

Consecuencias:

Un atacante puede hacer que el inodoro tire de la cadena varias veces, que se abra/cierre inesperadamente la tapa, que se activen las funciones del bidé o funciones de secado al aire causando malestar o angustia a usuario.[12]

11 Foscam FI8910W (White) Wireless B/G/N IP Camera

Descripción

Cámara IP que puede utilizarse como baby monitor con conectividad inalámbrica N y compatible con smartphones (Iphone, Android y Blackberry) y también accesible mediante web.

Vulnerabilidad

Directory traversal en el interfaz web con firmware anterior a 11.37.2.49 permite leer remotamente ficheros, incluyendo las credenciales web y wifi que utiliza el dispositivo.

Consecuencias

Un atacante puede tomar el control de la cámara y espiar a su víctima.[13]

12 Roomba iRobot 585

Descripción

Robot aspirador con sistema de navegación inteligente iAdapt y sistema de limpieza en 3 etapas patentado.

Vulnerabilidad

Ejecutando ROS es posible acceder al controlador del sensor sin autenticación.

Consecuencias

Mediante una aplicación en ROSjava (por ejemplo en Android) un atacante podría controlar remotamente el dispositivo.[14]

13 HP Pavilion dv3-4130ss

Descripción:

PC con procesador i5-460M, 4 gbs de RAM y disco duro SATA de 320 GB (7200 rpm). Viene con sistema operativo instalado Windows® 7 Home Premium 64 bits.

Vulnerabilidad:

La funcionalidad CMM (color management) en el componente 2D de Oracle Java SE 7 Update 15 y anteriores, 6 Update 41 y anteriores y 5.0 Update 40 provoca una corrupción de memoria en la JVM si recibe parámetros específicamente modificados.

Consecuencias:

Un atacante remoto podría provocar un DoS o ejecutar código arbitrariamente. Por ejemplo esta vulnerabilidad ha sido utilizada por el troyano McRAT que a su vez permite la descarga e instalación de otro malware.[15]

14 HP LaserJet Pro CP1025nw

Descripción

Impresora láser color, inalámbrica y con conexión Ethernet.

Vulnerabilidad

Ciertas impresoras HP LaserJet Pro contienen un bug en el servicio telnet que podría permitir a un atacante obtener acceso al dispositivo.

Consecuencias

Un atacante podría tener acceso a información confidencial.[16]

15 Samsung Galaxy III Mini i8190

Descripción

Smartphone con pantalla AMOLED de 4" y sistema operativo Jelly Bean.

Vulnerabilidad

Desde Android 1.6 Donut hasta 4.2 Jelly Bean no se comprueba correctamente la firma criptográfica de una aplicación.

Consecuencias

Un usuario podría instalar una aplicación modificada de forma maliciosa sin percatarse permitiendo la instalación de malware en el dispositivo.[17]

16 Karotz plastic bunny

Descripción:

Juguete que es un conejo de plástico que puede ser controlado desde un smartphone y que está equipado con una cámara de video, micrófono, chip RFID y altavoces.

Vulnerabilidad:

Es posible escribir un módulo en Python en un pendrive USB y cargarlo al iniciar el juguete. Además las credenciales para el control del dispositivo (tokens de sesión) se transmiten en claro por HTTP y pueden ser interceptadas.

Consecuencias:

Por ejemplo, si la aplicación utiliza la cámara web, el vídeo puede ser capturado y enviado a un servidor arbitrario.[18]

17 IBM descubrió una falla de seguridad en Android

El departamento de investigación de IBM dio a conocer una vulnerabilidad que deja expuesta la información personal de la mayoría de los usuarios de Android.

La vulnerabilidad se encuentra en la KeyStore, la parte del sistema donde se almacenan las claves de las aplicaciones, así como el PIN de desbloqueo, por lo que si un hacker consigue aprovecharse de la falla puede acceder a todo el contenido personal que se guarde en el dispositivo o tomar el control de las cuentas personales del usuario. IBM sostiene que no es fácil aprovecharse de este bug de seguridad, debido a que para hacerlo es necesario infiltrarse al teléfono con una aplicación previamente descargada.

Originalmente IBM sostenía que la vulnerabilidad estaba presente en el 86 % de los dispositivos con Android, es decir en todas las versiones anteriores a la 4.4 (KitKat). Pero en una actualización de su post, la compañía tecnológica informa que sólo esta presente en Android 4.3, por lo que los dispositivos afectados con la vulnerabilidad son únicamente el 10% de los gadgets que funcionan con el sistema operativo del androide verde.[19]

Visita otros de nuestros artículos

TODAS LAS PAGINAS.png
Haz click en el emoticón
Herramientas personales
Espacios de nombres

Variantes
Vistas
Acciones
Navegación
Herramientas
Contacta a Orquesta Tabaco y Ron para Eventos y Matrimonios http://tabacoyron.cl/