El intercomunicador Akuvox E11 está plagado de agujeros de seguridad
El Akuvox E11 es un dispositivo conectado a la red que abre las puertas de los edificios, proporciona transmisiones de video y micrófono en vivo, toma una foto y la carga cada vez que alguien pasa, y registra cada entrada y salida en tiempo real. El motor de búsqueda de dispositivos de Censys muestra que aproximadamente 5000 de estos dispositivos están expuestos a Internet, pero es probable que haya muchos más que Censys no pueda ver por varias razones.
Resulta que este dispositivo omnipotente y omnisciente está plagado de agujeros que brindan múltiples vías para poner datos confidenciales y capacidades poderosas en manos de los actores de amenazas que se toman el tiempo para analizar su funcionamiento interno. Eso es precisamente lo que hicieron los investigadores de la firma de seguridad Claroty. Los hallazgos son lo suficientemente serios como para que cualquier persona que use uno de estos dispositivos en una casa o edificio deba hacer una pausa en la lectura de este artículo, desconectar su E11 de Internet y evaluar a dónde ir desde allí.
El dispositivo Akuvox E11 cuenta con agujeros de seguridad que ponen en riesgo la privacidad de los usuarios
Las 13 vulnerabilidades encontradas por Claroty incluyen una falta de autenticación para funciones críticas, falta de autorización o autorización incorrecta, claves codificadas que se cifran utilizando claves accesibles en lugar de cifradas criptográficamente, y la exposición de información confidencial a usuarios no autorizados. A pesar de lo malas que son las vulnerabilidades, su amenaza se ve agravada por la falla de Akuvox, un proveedor líder con sede en China de intercomunicadores inteligentes y sistemas de entrada de puertas, para responder a múltiples mensajes de Claroty, el Centro de coordinación CERT y Ciberseguridad y Seguridad de Infraestructura. Todas menos una de las vulnerabilidades permanecen sin corregir.
¿Qué está haciendo este dispositivo en mi oficina? Los investigadores de Claroty se toparon por primera vez con el E11 cuando se mudaron a una oficina con uno preinstalado en la puerta. Dado su acceso a las idas y venidas de empleados y visitantes y su capacidad para espiar y abrir puertas en tiempo real, decidieron investigarlo. La primera bandera roja que encontraron los investigadores: las imágenes tomadas cada vez que se detectaba movimiento en la puerta se enviaban por FTP sin cifrar a un servidor Akuvox en un directorio que cualquiera podía ver y, desde allí, descargar las imágenes enviadas por otros clientes.
Te puede interesar: Estos son todos los datos que el timbre de Amazon recoleta de ti
“Nos sorprendió mucho cuando empezamos y vimos el FTP”, dijo en una entrevista Amir Preminger, vicepresidente de investigación en el grupo de investigación Team82 de Claroty. “Nunca imaginamos encontrar un FTP a la vista. Primero bloqueamos el dispositivo, lo separamos de todo, lo colocamos en su propia isla y lo usamos de forma independiente. Estamos en proceso de reemplazarlo”.
Mientras continuaba el análisis, el comportamiento del servidor FTP cambió. El directorio ya no se puede ver, por lo que presumiblemente tampoco se puede descargar. Sin embargo, sigue existiendo una amenaza importante, ya que las cargas de FTP no están cifradas. Eso significa que cualquier persona capaz de monitorear la conexión entre un E11 y Akuvox puede interceptar cargas.
Otro hallazgo importante de los investigadores fue una falla en la interfaz que permite al propietario usar un navegador web para iniciar sesión en el dispositivo, controlarlo y acceder a transmisiones en vivo. Si bien la interfaz requiere credenciales para acceder, Claroty encontró rutas ocultas que daban acceso a algunas de las webfunciones sin contraseña. La vulnerabilidad, rastreada como CVE-2023-0354, funciona contra dispositivos que están expuestos a Internet usando una dirección IP estática.
Los usuarios hacen esto para conectarse al dispositivo de forma remota mediante un navegador .Esa no es la única vulnerabilidad que permite el acceso remoto no autorizado a un E11. El dispositivo también funciona con una aplicación de teléfono llamada SmartPlus que está disponible para Android e iOS. Permite el acceso remoto incluso cuando un E11 no está expuesto directamente a Internet, sino que está detrás de un firewall que utiliza la traducción de direcciones de red. SmartPlus se comunica con el intercomunicador mediante el protocolo de inicio de sesión, un estándar abierto utilizado para comunicaciones en tiempo real, como llamadas de voz y video, mensajería instantánea y juegos.