Los fallos de seguridad dejan a las bañeras de hidromasaje en aguas turbulentas

21 enero, 2019
18 Compartido 2,265 Visualizaciones

Durante décadas las bañeras de hidromasaje eran un simple accesorio de lujo para terrazas y jardines para personas que querían un momento de relax. Recientemente, los fabricantes comenzaron a añadir excitantes funciones de Internet de las Cosas (IoT), que los departamentos de marketing promocionaban como imprescindibles.

Estas nuevas bañeras de hidromasaje parecen idénticas a sus predecesoras excepto porque sus dueños pueden remotamente ajustar características como la temperatura del agua desde su teléfono móvil.

Lo siguiente es fácil de adivinar, según la empresa de seguridad británica Pen Test Partners, al menos un fabricante tiene graves problemas de seguridad en sus bañeras.

En un vídeo grabado en una bañera de hidromasaje, el fundador, Ken Munro, explica como alertaron a su empresa para que investigara el diseño de autenticación de la app usada para controlar las bañeras de hidromasaje y spas fabricados por Balboa Water Group (BWG).

Lo que encontraron se puede identificar como lo que no hacer en seguridad IoT.

La app se comunica directamente con una interfaz wifi en las bañeras o a través de internet usando una API. El punto de acceso de la bañera está abierto, no se necesita ninguna PSK (clave previamente compartida), por lo que cualquiera que esté cerca de tu casa puede conectarse a tu bañera de hidromasaje y controlarla.

Y eso no es todo, la API no tiene autenticación pero se conecta a un servicio en la nube llamado iDigi, que utiliza una contraseña fija. Para conectarse a una bañera especifica, se necesita un ID, que resulta ser una versión inflada de la dirección MAC del punto de acceso wifi.

Espiar redes wifi es algo sencillo y muy popular, tan sencillo y popular que existen enormes bases de datos y mapas mundiales de direcciones MAC a tan solo un clic de distancia. Y, como cualquiera que utilice los servicios de ubicación de Google, las redes wifi también pueden servir para una efectiva geolocalización.

¿Te preocupa que alguien pueda localizar tu bañera en un mapa? Posiblemente no, pero a la mayoría les desagradaría si conociesen los problemas de seguridad que estamos tratando.

De hecho los expertos que descubrieron el fallo, han acuñado un nuevo término “hackuzzi”, en honor a la famosa marca americana Jacuzzi, que no está afectada por esta vulnerabilidad.

Aguas turbulentas

Según los investigadores, la vulnerabilidad no es peligrosa per se, pero podría permitir a un atacante provocar un consumo excesivo de electricidad. También es posible controlar los chorros de agua, de manera que se puede adivinar si alguien la está utilizando.

Sin duda se trata de un problema serio en un dispositivo que controla más de 26.000 bañeras. Cuando Pen Test Partners contactaron a Balboa no recibieron ninguna respuesta hasta que la BBC los contactó antes de retransmitir la noticia.

Pen Test Partners dijo que entonces BWG pidió que se retrasara la emisión para permitir las vacaciones de Navidad.

Hasta que la app y/o la API se actualicen, sugerimos a los dueños de las bañeras de hidromasaje afectadas que desactiven el control remoto y, si están muy preocupados, que quiten físicamente el modulo wifi.

Esperamos que Balboa solucione el problema pronto. Sin embargo dado que la última actualización para Android es de julio de 2013, lo más probable es que no sea pronto.

Te podría interesar

¿Por qué los controles de acceso de biometría de voz son los más eficaces?
Sin categoría
17 compartido1,115 visualizaciones
Sin categoría
17 compartido1,115 visualizaciones

¿Por qué los controles de acceso de biometría de voz son los más eficaces?

Vicente Ramírez - 20 marzo, 2019

  Las organizaciones de todo el mundo ya confían en la efectividad del control de acceso biométrico por voz como…

Lenovo transforma las operaciones de la cadena de suministro con Blockchain
Blockchain
28 compartido1,046 visualizaciones
Blockchain
28 compartido1,046 visualizaciones

Lenovo transforma las operaciones de la cadena de suministro con Blockchain

Vicente Ramírez - 19 marzo, 2019

Lenovo es un firme creyente y desarrollador de soluciones innovadoras, por lo que no es sorprendente que la empresa adopte…

¿Son los bitcoins y otras criptomonedas realmente seguras?
Actualidad
410 visualizaciones
Actualidad
410 visualizaciones

¿Son los bitcoins y otras criptomonedas realmente seguras?

José Luis - 23 octubre, 2017

Check Point explica cuáles son los elementos que constituyen una moneda digital y sus vulnerabilidades.  La transformación digital nos permite…

Deje un comentario

Su email no será publicado