Los peligros de configurar un dispositivo IoT utilizando el smartphone

Escrito por Adrián Crespo

Las facilidades con las que cuentan los usuarios a la hora de configurar un dispositivo son muchas. Cámaras IP, equipos PLC, routers, puntos de acceso Wi-Fi, enchufes inteligentes y así hasta completar un listado bastante amplio. Sin embargo, expertos en seguridad han encontrado un problema que afecta a un número no determinado de equipos IoT. Los datos relacionados con la conectividad inalámbrica se envían en texto plano y una tercera persona podría llevar a cabo el hurto de esta información.

Para todos aquellos que posean un dispositivos de los que hemos listado anteriormente, sabrá de qué estamos hablando. Para realizar la primera configuración, el usuario debe recurrir a un terminal móvil o una tableta. En ella ha instalado previamente la aplicación del fabricante que permite configurar de forma adecuada el dispositivo en cuestión. Todo esto se puede realizar gracias a SmartCfg. Aunque es probable que no los conozcas, a te adelantamos que se trata de una tecnología que permite enviar los parámetros de configuración (sobre todo los relacionados con el Wi-Fi).

A pesar de todo, expertos en seguridad han descubierto que algunas implementaciones de las funciones de esta tecnología no se pueden considerar del todo válidas en lo que se refiere a materia de seguridad.

Proceso para configurar un dispositivo utilizando SmartCfg

En primer lugar, vamos detallar en qué consiste el proceso de configuración. El terminal móvil o tableta utilizado, cuenta con la conexión a la red inalámbrica que el dispositivo utilizará para conectarse a Internet. Es decir, obtiene la información del propio sistema operativo. Sin embargo, algunos fabricantes han optado por crear un breve formulario en el que el usuario deberá seleccionar el SSID y la contraseña para conectarse.

Cuando se tiene la información, el realiza el envío de la información al equipo IoT. Es decir, el smartphone o tablet estará conectado a un punto de acceso inalámbrico creado por el dispositivo. Cuando la configuración ha finalizado, deja de tener un role de AP y pasa a ser un cliente.

Dispositivos IoT vulnerables en el proceso de configuración con smartphone

Problema al configurar dispositivos IoT

Tal y como indicábamos al comienzo de este artículo, expertos en seguridad han encontrado que, algunas implementaciones no son seguras. Es decir, cuentan con vulnerabilidades que podrían poner en peligro la configuración de seguridad de la red inalámbrica.

Ya se había indicado anteriormente que la seguridad de estos dispositivos no era la mejor. Sin embargo, esta evidencia se amplia al terreno de las configuraciones.

Los fallos encontrados están relacionados con la protección de las credenciales enviadas entre el fichero que realiza la configuración y el que la recibe. Se está observando que, en muchos casos, la información viaja sin ningún tipo de cifrado. Esto quiere decir que se podría realizar un ataque MitM (Man in the Middle) y conseguir esta información, sin la necesidad de aplicar ningún tipo de cifrado.

Obviamente, algunos fabricantes han buscado invertir muy poco tiempo en el desarrollo de un proceso seguro de configuración, provocando que la seguridad de las redes inalámbricas de los usuarios domésticos se pueda ver en algún momento resentida.

Si se quiere obtener más información, se puede realizar la lectura del estudio detallado.

Fuente > Passwords in the air