Taladro con acceso a Internet mostró tener una buena protección en el Internet de las cosas

¿Taladro inalámbrico con acceso a Internet? Según Mark Loveless, esta es una verdadera encarnación de la pesadilla de la ciberseguridad. Cuando se trata del Internet de las cosas, hay muchos ejemplos que corroboran el escepticismo de los expertos.

Un investigador de seguridad de la compañía Duo Security pensaba que los taladros inteligentes eran una estratagema de marketing del fabricante, que a fin de cuentas convertirían esta ventaja del producto en un blanco para sus adversarios. Pero después de poner a prueba el taladro Milwaukee Tool, se sorprendió gratamente al encontrar que el “cerebro” del dispositivo estaba implementado de forma segura y responsable.

“No esperaba que el taladro “inteligente” fuera seguro.” Pero después de probarlo, tuve la esperanza de que el Internet de las cosas podía ser implementado correctamente en lo que al usuario se refiere”, confesó Loveless.

El taladro en cuestión es Milwaukee Tool ONE-KEY M18 Fuel 1/2″ Drill/ Driver, y su sistema de administración se basa en la plataforma llamada One-Key. One-Key permite a los propietarios de herramientas utilizar una aplicación o sitio web, para rastrear la ubicación del taladro por GPS, ajustar de forma remota la configuración del hardware (por ejemplo, el torque del taladro) o desactivar la herramienta en caso de robo.

Después de estudiar a fondo la herramienta, Loveless quedó impresionado de que el fabricante hubiese modelado las amenazas que pudieran afectar al dispositivo, usado criptobibliotectas robustas con código de fuente abierto, e integrado un cifrado SSL fiable. “Si los productores de las cámaras de vídeo de vigilancia hicieran lo mismo, la botnet Mirai no habría tenido posibilidades”, dijo.

“Eso no significa que todo fuera perfecto”, dice Loveless, porque encontró “vulnerabilidades menores”. Una era que las contraseñas estaban especificadas en la aplicación para smartphone. Otra brecha podría permitir a un ladrón potencial localizar fácilmente el taladro mediante un escaneo Bluetooth.

Los datos de ubicación GPS del taladro también se podrían falsificar. “En principio, si alguien roba tu taladro, podría falsificar los datos GPS y hacer parecer que fue un vecino quien robó la herramienta”, es el ejemplo que dio el investigador.

Al final, Duo Security identificó cuatro vulnerabilidades, dos de las cuales recibieron números CVE únicos.

La brecha CVE-2017-3214 se refiere al hecho de que “la aplicación ONE-KEY contiene en formato base-64 las credenciales que se requieren para obtener la etiqueta (token). La etiqueta permite leer y escribir la información almacenada en el sitio web de Milwaukee Tool”.

La vulnerabilidad de CVE-2017-3215 consiste en que la aplicación One-Key utiliza etiquetas que tienen una fecha de vencimiento excesivamente larga, de 1 año en lugar de las típicas de 1-2 horas, así que cuando se roba o compromete el teléfono, el atacante puede robar la etiqueta y usarla, indica el informe de seguridad de Duo.

“Hay que recalcar que estamos hablando de un taladro. Pero si se tratara de una bomba de insulina, un marcapasos o una alarma de seguridad, habría que tomar estas vulnerabilidades con más seriedad”, dice Loveless.

Loveless también concluyó que, en su opinión, la herramienta “inteligente” Drill Milwaukee es una excepción y no una regla en el contexto de la seguridad del Internet de las cosas. “Puesto que sus rivales le están pisando los talones, Milwaukee decidió hacer mejor las cosas y pensar en la seguridad ya en la etapa de desarrollo, y no a las apuradas después de la comercialización del producto.”

Source: Threatpost