12 ago. 2014

Dos mil millones de dispositivos de "Internet de las Cosas" estarían expuestos [#BlackHat]

Según Mathew Solnik y Marc Blanchou, investigadores de la empresa de seguridad Accuvant, más de 2 mil millones de dispositivos estarían expuestos a intrusiones debido a vulnerabilidades detectadas en el software de administración remota de smartphones.

En su intervención en la conferencia Black Hat en Las Vegas, Solnik y Blanchou describieron una serie de fallos de seguridad en Android, Blackberry y un pequeño número de dispositivos iOS, con nivel de riesgo variable dependiendo de la compañía fabricante, marca y modelo.

Las vulnerabilidades habían sido descubiertas en implementaciones de gran propagación, desplegadas mediante el protocolo de administración OMA-DM, explicaron ambos expertos, agregando que el procedimiento permite a los operadores desplegar de forma remota actualizaciones de firmware, modificar configuración de conexiones de datos, instalar aplicaciones, bloquear dispositivos y borrar sus contenidos.

Éstas características suelen estar presentes en computadoras portátiles, tabletas, y un número cada vez mayor de dispositivos conectados a Internet, como parte de la “Internet de las Cosas”.

Con el fin de demostrar el tipo de riesgos a los que están expuestos estos dispositivos, Solnik y Blanchou plantearon el ejemplo de un protocolo de Red Bend Software que, según aseguraron, estaría instalado en el 70-90% de smartphones vendidos en todo el mundo.

Según indicaron, el software puede ser controlado fácilmente mediante el número IMEI y una clave secreta estática, que es compartida por todos los dispositivos de un operador telefónico determinado, los cuales pueden ser fácilmente adquiridos por un atacante, según señalaron ambos expertos.

Los expertos de Accuvant agregaron que estas vulnerabilidades estarían presentes en el software de cliente OMA-DM, desarrollado también por otras empresas.

Accuvant dice haber informado de la vulnerabilidad a Red Bend Software, que reaccionó inmediatamente distribuyendo parches entre los fabricantes.

Fuente: DiarioTI

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!