Vulnerabilidades en monitores para bebés, nuevamente

0

Investigadores de una popular firma de ciberseguridad -Rapid7- han encontrado vulnerabiliades en productos tan comunes como los monitores para bebés, que podrían ocasionar espionaje sobre las pequeñas criaturas y su entorno.

Se han analizado para ello los monitores de bebés de hasta 6 marcas comunes, con precios que oscilan entre 50 y 240 € para evaluar su privacidad y seguridad. Los modelos testeados (algunos) son:

Se ha escogido una gran variedad de marcas y modelos, para que no haya dudas sobre si el rango de precios afectaría a su seguridad, como nos explica su investigador.

Vulnerabilidades en monitores para bebés

Estos aparatos, tan comunes hoy en día para controlar las necesidades de los más pequeños de la casa, podrían estar a su vez sattisfaciendo las “dudosas necesidades” de otros, según apuntan desde Rapid7. Los monitores para bebés son capaces de captar tanto el sonido como el vídeo de la habitación donde este se encuentra y podrían facilitar a terceros información personal o valiosa sobre nuestra casa.

Monitores para bebés

Entre estas vulnerabilidades en monitores para bebés encontramos problemas de escalado de privilegios (en uno de los modelos), credenciales para hacer uso de una puerta trasera en ciertos aparatos, algún fallo de autenticación que permite acceder a ellos sin las credenciales, una vulnerabilidad que permite acceder directamente a ellos desde el navegador y, finalmente, un problema de tipo XSS (Cross Site Scripting) en otro de los dispositivos.

Vigilabebés, un blanco fácil para los hackers

Los también llamados vigilabebés no suelen ser considerados nunca por las familias desde el punto de vista de la seguridad, aunque esto es algo que debe cambiar. No sólo por la invasión de nuestra privacidad, sino porque permiten poner un pié en nuestra red doméstica a los desconocidos.

Se trata de un aparatito que parece inocuo y amigable, según comentan los expertos.

Buenas y malas noticias

Los investigadores no han hallado indicios claros de que las vulnerabilidades en monitores para bebés estén siendo explotadas en masa, pero las malas noticias nos dicen que tampoco tenemos un remedio fácil ni inmediato.

Wireless HD Baby Monitor B120E_37 de Philips

Wireless HD Baby Monitor B120E_37 de Philips

El modelo In.Sight Wireless HD Baby Monitor B120E/37 de Philips, por ejemplo, está afectado por nada menos que 3 de estas vulnerabilidades. El atacante podría, sin esfuerzo, abrir una emisión de vídeo y audio en directo:

Está exponiendo el servidor web de la aplicación en la red. Si conectas con el dispositivo y no eres la persona que inició la conexión y está autorizada para verla, no debería permitírsete verla. La vulnerabilidad está en que no reuqiere ningún tipo de autenticación, explican.

Bien hecho, Philips

Lo cierto es que esta empresa en particular ha reaccionado muy rápido ante el problema, pocos días después (el 4 de Septiembre) lanzaron un parche para corregir el fallo, empleando soluciones de la prestigiosa firma Gybson Innovations, para tapar definitivamente la brecha.

Encontrando vigilabebés mediante Shodan

Uno de los aspectos preocupantes de la seguridad de estos aparatitos es lo fácil que resulta descubrirlos a través de Shodan -como muchos otros equipos IoT- que no es otra cosa que un buscador para acceder a dispositivos conectados a la red sin seguridad apropiada.

Finalmente, aquí encontraréis una tabla con todas las vulnerabilidades encontradas en cada modelo.

CVE-2015-2886 Remote R7-2015-11.1 Predictable Information Leak iBaby M6
CVE-2015-2887 Local Net, Device R7-2015-11.2 Backdoor Credentials iBaby M3S
CVE-2015-2882 Local Net, Device R7-2015-12.1 Backdoor Credentials Philips In.Sight B120/37
CVE-2015-2883 Remote R7-2015-12.2 Reflective, Stored XSS Philips In.Sight B120/37
CVE-2015-2884 Remote R7-2015-12.3 Direct Browsing Philips In.Sight B120/37
CVE-2015-2888 Remote R7-2015-13.1 Authentication Bypass Summer Baby Zoom Wifi Monitor & Internet Viewing System
CVE-2015-2889 Remote R7-2015-13.2 Privilege Escalation Summer Baby Zoom Wifi Monitor & Internet Viewing System
CVE-2015-2885 Local Net, Device R7-2015-14 Backdoor Credentials Lens Peek-a-View
CVE-2015-2881 Local Net R7-2015-15 Backdoor Credentials Gynoii
CVE-2015-2880 Device R7-2015-16 Backdoor Credentials TRENDnet WiFi Baby Cam TV-IP743SIC
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR