Los investigadores hackearon de forma remota las cerraduras inteligentes de U-Tech; No hay otras marcas afectadas

Last updated Abr 14, 2022

U-Tec

Es posible que haya visto que los investigadores descubrieron un truco para abrir cerraduras inteligentes con solo una dirección Mac. La buena noticia es que solo una marca de cerraduras inteligentes, U-Tec, tuvo el problema. Y aún mejor, está parcheado. Actualice sus cerraduras inteligentes ahora si posee una cerradura inteligente UltraLoq.

Recientemente, los investigadores descubrieron que con algunas herramientas relativamente simples (aunque técnicas), podían desbloquear de forma remota las cerraduras inteligentes U-Tech UltraLoq con solo una dirección MAC. Obtener toda la información para piratear la puerta no fue difícil, porque la propia cerradura transmitía los datos. Afortunadamente, la compañía ya implementó una solución.

Las cerraduras inteligentes son una adición conveniente a su hogar y pueden ayudarlo con la seguridad. Además de abrir y cerrar su casa de forma remota o sin tener que sacar una llave, puede activar temporizadores y rutinas para asegurarse de que la puerta esté cerrada con llave cuando salga o durante la noche. Pero agregar una radio a cualquier parte de su hogar finalmente presenta una vulnerabilidad.

En el caso de las cerraduras inteligentes, ese es un riesgo insignificante, ya que todas las cerraduras ya son vulnerables a los forzados. Como se demostró una y otra vez en YouTube, probablemente sea más fácil y económico aprender a abrir cerraduras que aprender a piratear dispositivos IOT.

Aún así, eso no permite que los casilleros inteligentes se escapen, cualquier dispositivo centrado en la seguridad, como un candado, debe ser seguro de todas las formas posibles. Desafortunadamente para U-Tec, que fabrica la cerradura inteligente UltraLoq, los investigadores de Tripwire descubrieron algunos agujeros en la seguridad de la empresa. Los investigadores buscaron vulnerabilidades de MQTT y encontraron algunas en la configuración de UltraLoq.

MQTT es un sistema que utilizan muchos fabricantes de IOT para transmitir mensajes entre dispositivos. Los investigadores de Tripwire utilizan los termostatos y los sistemas HVAC como ejemplo. MQTT permite que los termostatos en diferentes habitaciones transmitan información de temperatura sobre la habitación y el sistema HVAC para "suscribirse" y reaccionar adecuadamente.

En el caso de las cerraduras inteligentes UltraLoq, ese sistema está en uso entre la cerradura inteligente y un puente Wi-Fi emparejado con Bluetooth. Ese es un sistema estándar que se usa en cerraduras inteligentes para agregar capacidad remota mientras mantiene la cerradura pequeña y compacta.

Con algunas búsquedas, los investigadores descubrieron que UltraLocs transmitía información a Internet que contenía direcciones de correo electrónico y otros datos. Una mirada más cercana a la cerradura arrojó un método para raspar la dirección Mac, la dirección IP y más de la cerradura. Esa es información suficiente para identificar a las personas e incluso abrir una puerta de forma remota.

La buena noticia es que Tripwire reveló responsablemente el problema a U-Tec y proporcionó muchos detalles sobre el problema. Al principio, los parches de U-Tec no resolvieron el problema, pero Tripwire continuó brindando comentarios. Eventualmente, U-Tec acertó y ahora Tripwire está divulgando públicamente la información.

Cada dispositivo doméstico inteligente que introduce en su hogar es una nueva fuente de vulnerabilidad. Eso es algo a tener en cuenta si está considerando agregar algo conectado a Internet en su hogar. Pero los fabricantes responsables repararán las vulnerabilidades descubiertas, por lo que si tiene dispositivos domésticos inteligentes, lo más importante que debe hacer es mantenerlos actualizados.

Fuente: Tripwire

Fuente de grabación: www.reviewgeek.com