A finales de febrero, Daxdi y Bitdefender informaron varias fallas de seguridad importantes en el popular iBaby Monitor M6S.
Un error de configuración del lado del servidor significaba que un experto en redes podía usar un monitor iBaby propio para ver y descargar videos e imágenes cargados por otros usuarios legítimos del dispositivo.
Un problema de configuración diferente hizo posible que terceros escucharan las comunicaciones de cada monitor.
Un atacante que captó los detalles de configuración de un nuevo dispositivo mientras fisgoneaba podría tomar el control total del vigilabebés.
Finalmente, al aprovechar los dos primeros agujeros de seguridad, un atacante podría capturar la información personal del propietario.
El descubrimiento de estas fallas de seguridad se produjo como resultado directo de una asociación entre Daxdi y el equipo de seguridad de Internet de las cosas de Bitdefender.
De forma continua, informamos al equipo de Bitdefender sobre qué dispositivos son populares y bien considerados, y los someten a pruebas rigurosas.
Si descubren problemas de seguridad, advierten a los diseñadores del dispositivo y les dan tiempo para encontrar una solución, normalmente 90 días.
Pero cuando se acaba el tiempo, publican los resultados independientemente de si los agujeros se solucionaron o no, tanto en una publicación de blog que es comprensible para la mayoría, como en un documento técnico con todos los detalles para la edificación de los expertos en seguridad.
Los informes anteriores derivados de esta asociación han cubierto problemas de seguridad en Ring Video Doorbell y en Wemo Smart Plug de Belkin.
Ring y Belkin solucionaron los problemas de inmediato.
En el caso de Ring, la solución requería publicar una actualización de firmware para proteger todos los dispositivos afectados.
Dado que todas las vulnerabilidades de iBaby estaban en el lado del servidor, una solución debería haber sido fácil, pero pasaron casi nueve meses sin ninguna acción.
¿Entonces qué pasó?
Fallo de comunicaciones
Cuando el equipo de Bitdefender encontró problemas de seguridad con el dispositivo iBaby, intentaron informarlos a iBaby Labs.
Probaron varias direcciones de correo electrónico, pidiendo configurar un canal de comunicaciones de correo electrónico cifrado para poder transmitir sus hallazgos de forma segura.
Desafortunadamente, no recibieron una respuesta útil.
El equipo de hardware de Daxdi se comunica necesariamente con iBaby Labs cuando revisa sus dispositivos de monitoreo de bebés.
Este equipo proporcionó al grupo Bitdefender la información de contacto.
Aun así, Bitdefender no pudo establecer una conexión con los desarrolladores de iBaby.
Por lo general, los investigadores dan a los fabricantes de dispositivos 90 días para lidiar con este tipo de vulnerabilidad antes de hacerla pública.
Bitdefender siguió intentando ponerse en contacto con iBaby durante casi nueve meses, y finalmente reveló los detalles en una charla en la Conferencia RSA 2020 en San Francisco.
Una solución rápida
Junto con la gran revelación en la Conferencia RSA, publicamos nuestro informe sobre el tema y el equipo de Bitdefender publicó su publicación de blog y su documento técnico.
Al día siguiente, iBaby Labs se puso en contacto con nosotros con gran consternación.
El representante de la empresa dijo que nunca habían oído hablar de estos problemas.
Sin embargo, está claro que gracias a los detalles del documento técnico de Bitdefender, los desarrolladores de iBaby entendieron rápidamente las fallas de seguridad.
En solo unos días, iBaby Labs anunció una solución para todos los problemas reportados.
El informe señala que, si bien los datos podrían haberse exfiltrado a través de los agujeros de seguridad, no encontraron evidencia de que esto hubiera sucedido.
Como se señaló, las fallas de seguridad existían a nivel del servidor, lo que significa que las correcciones de iBaby se llevaron a cabo de inmediato.
El asistente de IoT de Bitdefender, Jay Balan, confirmó la solución.
“Puedo decir que en este punto los vectores de ataque que identificamos en nuestra investigación ya no funcionan”, dijo Balan.
“Es de agradecer la rapidez con la que entregaron la solución.
Solo lamentamos que haya sido necesario este contacto con los medios para llamar su atención, dejando a sus clientes con una ventana de vulnerabilidad bastante grande ".
Además de las correcciones del lado del servidor, el informe de iBaby promete una actualización de firmware.
El informe dice: “Pronto también lanzaremos una actualización de firmware que se enviará a su dispositivo.
Una vez que esté disponible, recibirá una notificación.
Esto mejorará aún más la seguridad de los datos ".
Recomendado por nuestros editores
Una lección para aprender
Con cada semana que pasa, aprendemos sobre algún nuevo dispositivo de Internet de las cosas, desde pañales que le envían mensajes de texto cuando necesitan un cambio hasta un robot que dobla la ropa.
Casi todos tienen algo en común: no están diseñados pensando en la seguridad.
¿Y por qué deberían serlo? ¿Alguien pirateará su tostadora con conexión a Internet y quemará la tostada? El problema es que cualquier dispositivo IoT desprotegido en su red puede ser sobornado por malhechores para comprometer la seguridad de toda su red.
En el caso de un monitor para bebés u otro dispositivo equipado con cámara, los piratas informáticos pueden, literalmente, espiarte.
No estoy sugiriendo que la floreciente industria de IoT ralentice la producción de nuevos dispositivos al agregar equipos de seguridad dedicados.
Hacerlo daría una ventaja competitiva a los dispositivos no seguros que podrían venderse por menos.
E incluso con un equipo de seguridad a bordo, algunos errores podrían filtrarse.
Por el contrario, sugiero encarecidamente que todos los fabricantes de dispositivos publiquen un contacto que los investigadores puedan utilizar para informar problemas.
Es una solución bastante simple.
Si iBaby Labs hubiera proporcionado tal contacto, esta podría haber sido una historia muy diferente.
