Los fallos de seguridad dejan a las bañeras de hidromasaje en aguas turbulentas

21 enero, 2019
18 Compartido 2,195 Visualizaciones

Durante décadas las bañeras de hidromasaje eran un simple accesorio de lujo para terrazas y jardines para personas que querían un momento de relax. Recientemente, los fabricantes comenzaron a añadir excitantes funciones de Internet de las Cosas (IoT), que los departamentos de marketing promocionaban como imprescindibles.

Estas nuevas bañeras de hidromasaje parecen idénticas a sus predecesoras excepto porque sus dueños pueden remotamente ajustar características como la temperatura del agua desde su teléfono móvil.

Lo siguiente es fácil de adivinar, según la empresa de seguridad británica Pen Test Partners, al menos un fabricante tiene graves problemas de seguridad en sus bañeras.

En un vídeo grabado en una bañera de hidromasaje, el fundador, Ken Munro, explica como alertaron a su empresa para que investigara el diseño de autenticación de la app usada para controlar las bañeras de hidromasaje y spas fabricados por Balboa Water Group (BWG).

Lo que encontraron se puede identificar como lo que no hacer en seguridad IoT.

La app se comunica directamente con una interfaz wifi en las bañeras o a través de internet usando una API. El punto de acceso de la bañera está abierto, no se necesita ninguna PSK (clave previamente compartida), por lo que cualquiera que esté cerca de tu casa puede conectarse a tu bañera de hidromasaje y controlarla.

Y eso no es todo, la API no tiene autenticación pero se conecta a un servicio en la nube llamado iDigi, que utiliza una contraseña fija. Para conectarse a una bañera especifica, se necesita un ID, que resulta ser una versión inflada de la dirección MAC del punto de acceso wifi.

Espiar redes wifi es algo sencillo y muy popular, tan sencillo y popular que existen enormes bases de datos y mapas mundiales de direcciones MAC a tan solo un clic de distancia. Y, como cualquiera que utilice los servicios de ubicación de Google, las redes wifi también pueden servir para una efectiva geolocalización.

¿Te preocupa que alguien pueda localizar tu bañera en un mapa? Posiblemente no, pero a la mayoría les desagradaría si conociesen los problemas de seguridad que estamos tratando.

De hecho los expertos que descubrieron el fallo, han acuñado un nuevo término “hackuzzi”, en honor a la famosa marca americana Jacuzzi, que no está afectada por esta vulnerabilidad.

Aguas turbulentas

Según los investigadores, la vulnerabilidad no es peligrosa per se, pero podría permitir a un atacante provocar un consumo excesivo de electricidad. También es posible controlar los chorros de agua, de manera que se puede adivinar si alguien la está utilizando.

Sin duda se trata de un problema serio en un dispositivo que controla más de 26.000 bañeras. Cuando Pen Test Partners contactaron a Balboa no recibieron ninguna respuesta hasta que la BBC los contactó antes de retransmitir la noticia.

Pen Test Partners dijo que entonces BWG pidió que se retrasara la emisión para permitir las vacaciones de Navidad.

Hasta que la app y/o la API se actualicen, sugerimos a los dueños de las bañeras de hidromasaje afectadas que desactiven el control remoto y, si están muy preocupados, que quiten físicamente el modulo wifi.

Esperamos que Balboa solucione el problema pronto. Sin embargo dado que la última actualización para Android es de julio de 2013, lo más probable es que no sea pronto.

Te podría interesar

La ciberseguridad, uno de los factores clave a la hora de invertir en una compañía
Soluciones Seguridad
17 compartido1,915 visualizaciones
Soluciones Seguridad
17 compartido1,915 visualizaciones

La ciberseguridad, uno de los factores clave a la hora de invertir en una compañía

Mónica Gallego - 6 noviembre, 2018

S2 Grupo prevé que la preocupación por la ciberseguridad aumente en los próximos años y esto provocará que sea uno…

Hackers al acecho de los Android sin actualizar
Actualidad
450 visualizaciones
Actualidad
450 visualizaciones

Hackers al acecho de los Android sin actualizar

José Luis - 13 septiembre, 2017

Una vulnerabilidad crítica en todos los dispositivos Android que ejecuten cualquier versión del sistema operativo, excepto el 8.0, puede permitir…

Empleo
12 compartido525 visualizaciones

F5 Networks nombra a Gad Elkin vicepresidente de Ventas para Partners de EMEA

Samuel Rodríguez - 9 marzo, 2018

F5 Networks acaba de nombrar a Gad Elkin nuevo vicepresidente de Ventas para Partners de EMEA, con el objetivo de…

Deje un comentario

Su email no será publicado