lunes, 27 de marzo de 2017

De dispositivo conectado a hackeado: lo que puede ocurrir al incluir un servidor web en un lavavajillas

Lavavajillas

Dotar de conexión a internet a los electrodomésticos no es nada nuevo y ya llevamos varios años viendo ejemplos como frigoríficos o aspiradoras. Algo que puede ser un añadido útil y en algunos casos una exposición o fuente para la toma de datos, como ha ocurrido con unos lavavajillas de Miele que pueden ser víctimas de un ataque por un error en el servidor web que integran.

El modelo afectado es el Miele Professional PG 8528, una unidad de lavado y desinfección de instrumental de hospitales entre cuyas especificaciones técnicas figura un servidor de internet. La idea es que el dispositivo pueda compartir datos con otros (para procesar información, etc.), pero debido a este error supone una puerta de acceso a posibles ataques.

Un lavavajillas que puede ser lavado de datos

Los detalles del bug los publican en el portal Seclists.org, en el que vemos todos los aspectos técnicos y donde destacan sobre todo dos hechos: el tipo de error y la "respuesta" de Miele. Lo que según este informe puede darse es un directory transversal attack, con el cual un atacante puede acceder a la información privada y sensible que el dispositivo maneja y almacena, además de que podría insertar su propio código para que el servidor lo ejecutase.

Bug

El segundo punto que llama la atención es que esto no es nuevo (se sabe desde noviembre de 2016) y que se ha llegado a notificar al fabricante al menos en dos ocasiones por parte de este portal. Y al parecer Miele no ha respondido, ni al portal ni de manera pública, y no existe aún una solución a este exploit.

Sin respuestas ni soluciones

La conexión a internet de los dispositivos da posibilidades de ampliar el uso de los mismos como el poder conectar varios para que funcionen sincronizados o el hacer un uso conjunto con otro usuario en la distancia. Pero cuando esto no se aplica de la manera correcta (u honesta) puede haber este tipo de "agujeros", o bien no respetar la privacidad de los usuarios como vimos en el caso de las smart TV de Vizio o los juguetes sexuales de We-Vibe, ambos teniendo que pagar multas por ello.

Dejando a un lado lo cuestionable de la necesidad de integrar internet en todos los electrodomésticos, el caso es que de momento Miele no se ha pronunciado, como decíamos. Veremos si próximamente envían algún tipo de actualización que solucione este problema ahora que el incidente es público.

Imagen | Freepik
Vía | The Register

También te recomendamos

¿Cortana en la nevera? El asistente de Microsoft llegará al Internet de las Cosas

Las Usain Bolt de los teclados. Así es la mecanografía como ciencia de culto

'Nunca he actualizado mis dispositivos': ¿por qué 4 de cada 10 usuarios reniegan de los parches?

-
La noticia De dispositivo conectado a hackeado: lo que puede ocurrir al incluir un servidor web en un lavavajillas fue publicada originalmente en Xataka por Anna Martí .



via Xataka http://ift.tt/2n9iaQh

No hay comentarios:

Publicar un comentario