El pirateo del sistema de seguridad para el hogar destaca los problemas de vulnerabilidad de IoT

Un video de YouTube demuestra cómo el dispositivo puede ser engañado por un emisor inalámbrico de $2 que imita la frecuencia de sus sensores de puertas y ventanas.

Los sistemas de seguridad para el hogar basados ​​en IoT han tenido sus propios problemas de seguridad, pero eso no ha impedido que los consumidores los compren. A medida que aumenta su popularidad, también parece aumentar la cantidad de fallas de seguridad que se encuentran en ellos.

Gracias a un YouTuber que se hace llamar "LockPickingLawyer", se descubrió que el sistema de seguridad SimpliSafe DIY se ve fácilmente comprometido por un transmisor inalámbrico de $2.

Ver también: Nuevas pautas de seguridad de IoT de alto nivel del NIST

En un video, LockPickingLawyer demostró cómo un transmisor inalámbrico económico que imita la frecuencia de los sensores de puertas y ventanas del sistema puede bloquear la activación de la alarma si se abre una puerta o ventana. Esto se logra utilizando el transmisor al mismo tiempo que se abre la puerta o la ventana. Agregó que si el emisor se acerca demasiado a la base de la alarma, el usuario recibirá una notificación de interferencia inalámbrica. Este truco es posible gracias a la dependencia del sistema de la frecuencia de 433,92 MHz, que es utilizada por una amplia variedad de otros dispositivos electrónicos.

Cuando se puso en contacto con The Verge, SimpliSafe cuestionó los hallazgos del YouTuber:

“El video es engañoso y no se aplica a cómo funcionan los sistemas de seguridad en la vida real. En este video, el creador del video encuentra una frecuencia, intensidad de señal y orientación precisas de los componentes del sistema en los que pueden enhebrar la aguja de bloqueo de la comunicación del sistema sin activar una alerta.

En la vida real, esto es poco probable. Debido a que la intensidad de la señal se degrada de manera impredecible dependiendo de la distancia y el paisaje, sería muy difícil para cualquiera encontrar la intensidad "correcta" sin activar una alerta".

LockPickingLawyer respondió:“SimpliSafe no está de acuerdo con que los componentes del sistema estén dispuestos juntos durante el video. Esa fue una necesidad del cine, no un límite físico de la hazaña. En mi prueba, llevé sensores desde la estación base hasta los confines de mi casa, luego realicé las mismas pruebas con el mismo dispositivo y obtuve los mismos resultados. En todo caso, las pruebas a distancias realistas mostraron un problema más significativo en la medida en que era menos probable que el sistema SimpliSafe detectara la interferencia.

La otra crítica de SimpliSafe es que alguien necesitaría un conocimiento previo de la disposición del sistema para evitar la detección de interferencias. La empresa está atacando a un hombre de paja. Lo que es necesario para evitar la detección de este exploit estaba fuera del alcance de mis pruebas. De hecho, mi video señala explícitamente que SimpliSafe puede detectar la interferencia. Sin embargo, la detección de interferencia nunca activó una alarma en mis pruebas. Solo envió una "alerta" de que el residente puede o no investigar".

Esta no es la primera vez que SimpliSafe ha sido objeto de críticas por un problema de seguridad. En 2016, se descubrió que el sistema era "inherentemente inseguro y vulnerable" después de que los investigadores de IOActive pudieran infiltrarse y desarmar el sistema de seguridad y escuchar el tráfico de radio, y un colaborador de ventas e integración de seguridad y experto en alarmas analizó el sistema y el los resultados fueron sombríos.