Los fallos de seguridad dejan a las bañeras de hidromasaje en aguas turbulentas

21 enero, 2019
18 Compartido 2,385 Visualizaciones

Durante décadas las bañeras de hidromasaje eran un simple accesorio de lujo para terrazas y jardines para personas que querían un momento de relax. Recientemente, los fabricantes comenzaron a añadir excitantes funciones de Internet de las Cosas (IoT), que los departamentos de marketing promocionaban como imprescindibles.

Estas nuevas bañeras de hidromasaje parecen idénticas a sus predecesoras excepto porque sus dueños pueden remotamente ajustar características como la temperatura del agua desde su teléfono móvil.

Lo siguiente es fácil de adivinar, según la empresa de seguridad británica Pen Test Partners, al menos un fabricante tiene graves problemas de seguridad en sus bañeras.

En un vídeo grabado en una bañera de hidromasaje, el fundador, Ken Munro, explica como alertaron a su empresa para que investigara el diseño de autenticación de la app usada para controlar las bañeras de hidromasaje y spas fabricados por Balboa Water Group (BWG).

Lo que encontraron se puede identificar como lo que no hacer en seguridad IoT.

La app se comunica directamente con una interfaz wifi en las bañeras o a través de internet usando una API. El punto de acceso de la bañera está abierto, no se necesita ninguna PSK (clave previamente compartida), por lo que cualquiera que esté cerca de tu casa puede conectarse a tu bañera de hidromasaje y controlarla.

Y eso no es todo, la API no tiene autenticación pero se conecta a un servicio en la nube llamado iDigi, que utiliza una contraseña fija. Para conectarse a una bañera especifica, se necesita un ID, que resulta ser una versión inflada de la dirección MAC del punto de acceso wifi.

Espiar redes wifi es algo sencillo y muy popular, tan sencillo y popular que existen enormes bases de datos y mapas mundiales de direcciones MAC a tan solo un clic de distancia. Y, como cualquiera que utilice los servicios de ubicación de Google, las redes wifi también pueden servir para una efectiva geolocalización.

¿Te preocupa que alguien pueda localizar tu bañera en un mapa? Posiblemente no, pero a la mayoría les desagradaría si conociesen los problemas de seguridad que estamos tratando.

De hecho los expertos que descubrieron el fallo, han acuñado un nuevo término “hackuzzi”, en honor a la famosa marca americana Jacuzzi, que no está afectada por esta vulnerabilidad.

Aguas turbulentas

Según los investigadores, la vulnerabilidad no es peligrosa per se, pero podría permitir a un atacante provocar un consumo excesivo de electricidad. También es posible controlar los chorros de agua, de manera que se puede adivinar si alguien la está utilizando.

Sin duda se trata de un problema serio en un dispositivo que controla más de 26.000 bañeras. Cuando Pen Test Partners contactaron a Balboa no recibieron ninguna respuesta hasta que la BBC los contactó antes de retransmitir la noticia.

Pen Test Partners dijo que entonces BWG pidió que se retrasara la emisión para permitir las vacaciones de Navidad.

Hasta que la app y/o la API se actualicen, sugerimos a los dueños de las bañeras de hidromasaje afectadas que desactiven el control remoto y, si están muy preocupados, que quiten físicamente el modulo wifi.

Esperamos que Balboa solucione el problema pronto. Sin embargo dado que la última actualización para Android es de julio de 2013, lo más probable es que no sea pronto.

Te podría interesar

La mayoría de los hackers de alquiler son estafadores
Actualidad
19 compartido2,269 visualizaciones
Actualidad
19 compartido2,269 visualizaciones

La mayoría de los hackers de alquiler son estafadores

Mónica Gallego - 3 junio, 2019

Los piratas informáticos de alquiler son una panda de estafadores, según un estudio publicado la semana pasada por Google y académicos de…

Los hackers de bombillas inteligentes para obtener contraseñas WiFi
IoT
18 compartido2,298 visualizaciones
IoT
18 compartido2,298 visualizaciones

Los hackers de bombillas inteligentes para obtener contraseñas WiFi

Mónica Gallego - 6 febrero, 2019

Los hackers de Limited Results lograron obtener contraseñas WiFi al extraer los datos de bombillas inteligentes, ya que no incorporaban…

Diez años de iPhone: Historia del malware mobile
Actualidad
489 visualizaciones
Actualidad
489 visualizaciones

Diez años de iPhone: Historia del malware mobile

Pedro Pablo Merino - 19 septiembre, 2017

Los usuarios están deseosos por tener en sus manos la edición que Apple a preparado por el décimo aniversario del…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.