Un controlador de puerta de garaje líder está tan plagado de graves vulnerabilidades de seguridad y privacidad que el investigador que las descubrió aconseja a cualquiera que lo desconecte de inmediato hasta que se reparen.

Cada dispositivo de $80 que se usa para abrir y cerrar las puertas del garaje y controlar las alarmas de seguridad del hogar y los enchufes inteligentes emplea la misma contraseña universal fácil de encontrar para comunicarse con los servidores Nexx. Los controladores también transmiten la dirección de correo electrónico sin cifrar, la identificación del dispositivo, el nombre y la última inicial correspondiente a cada uno, junto con el mensaje necesario para abrir o cerrar una puerta, encender o apagar un enchufe inteligente o programar dicho comando para un momento futuro.

Desconecte inmediatamente todos los dispositivos Nexx

El resultado: cualquier persona con conocimientos técnicos moderados puede buscar en los servidores Nexx una dirección de correo electrónico, un ID de dispositivo o un nombre determinados y luego emitir comandos al controlador asociado. (Los controladores Nexx para alarmas de seguridad para el hogar son susceptibles a una clase similar de vulnerabilidades). Los comandos le permiten abrir una puerta, apagar un dispositivo conectado a un enchufe inteligente o desactivar una alarma. Peor aún, en los últimos tres meses, la gente de Nexx, con sede en Texas, no respondió a varios mensajes privados que advertían sobre las vulnerabilidades.

“Nexx ha ignorado constantemente los intentos de comunicación por parte mía, del Departamento de Seguridad Nacional y de los medios”, escribió el investigador que descubrió las vulnerabilidades en un post publicado el martes. “Los propietarios de dispositivos deben desconectar inmediatamente todos los dispositivos Nexx y presentar tickets de soporte a la empresa para pedirles que resuelvan el problema”.

El investigador estima que más de 40.000 dispositivos, ubicados en propiedades residenciales y comerciales, están afectados y más de 20.000 personas tienen cuentas Nexx activas.

Los controladores Nexx permiten que las personas usen sus teléfonos o asistentes de voz para abrir y cerrar las puertas de su garaje, a pedido o en momentos programados del día. Los dispositivos también se pueden usar para controlar las alarmas de seguridad del hogar y los enchufes inteligentes que se usan para encender o apagar los electrodomésticos de forma remota. En el corazón de este sistema se encuentran los servidores operados por Nexx, a los que se conectan su teléfono o asistente de voz y abre-puertas de garaje. El proceso de cinco pasos para registrar un nuevo dispositivo se ve así:

1. El usuario utiliza la aplicación móvil Nexx Home para registrar su nuevo dispositivo Nexx con Nexx Cloud.
2. Detrás de escena, Nexx Cloud devuelve una contraseña para que el dispositivo la use para comunicaciones seguras con Nexx Cloud.
3. La contraseña se transmite al teléfono del usuario y se envía al dispositivo Nexx mediante Bluetooth o Wi-Fi.
4. El dispositivo Nexx establece una conexión independiente a Nexx Cloud utilizando la contraseña proporcionada.
5. El usuario ahora puede operar la puerta de su garaje de forma remota utilizando la aplicación móvil Nexx.

Esta es una ilustración del proceso:

Una contraseña universal fácil de encontrar

Para que todo esto funcione, los controladores utilizan un protocolo ligero conocido como MQTT. Abreviatura de Message Queuing Telemetry Transport, se utiliza en redes de bajo ancho de banda, alta latencia o inestables para promover una comunicación eficiente y confiable entre dispositivos y servicios en la nube. Para ello, Nexx utiliza un publicar para suscribir plantilladonde se envía un único mensaje entre los dispositivos del suscriptor (el teléfono, el asistente de voz y el abrepuertas del garaje) y un intermediario central (la nube Nexx).

El investigador Sam Sabetan descubrió que los dispositivos usan la misma contraseña para comunicarse con la nube Nexx. Además, esta contraseña se obtiene fácilmente simplemente analizando el firmware enviado con el dispositivo o la comunicación de ida y vuelta entre un dispositivo y la nube Nexx.

«Usar una contraseña universal para todos los dispositivos presenta una vulnerabilidad significativa, ya que los usuarios no autorizados pueden acceder a todo el ecosistema al obtener la contraseña compartida», escribió el investigador. “Al hacerlo, podrían comprometer no solo la privacidad sino también la seguridad de los clientes de Nexx al controlar las puertas de su garaje sin su consentimiento”.

Cuando Sabetan usó esa contraseña para acceder al servidor, rápidamente encontró no solo comunicaciones entre su dispositivo y la nube, sino también comunicaciones con otros dispositivos Nexx y la nube. Esto significaba que podía rastrear las direcciones de correo electrónico, los apellidos, las iniciales y los ID de dispositivos de otros usuarios para identificar a los clientes en función de la información única compartida en esos mensajes.

Pero se pone peor. Sabetan podía copiar mensajes que otros usuarios enviaron para abrir sus puertas y reproducirlos a voluntad, desde cualquier parte del mundo. Esto significaba que una simple operación de cortar y pegar era suficiente para controlar cualquier dispositivo Nexx, sin importar dónde estuviera ubicado.

Aquí hay un video de prueba de concepto que demuestra el truco:

Este evento recuerda el cliché trillado de que la S en IoT, abreviatura del término genérico Internet de las cosas, significa seguridad. Si bien muchos dispositivos IoT ofrecen comodidad, un número aterrador está diseñado con protecciones de seguridad mínimas. El firmware desactualizado con vulnerabilidades conocidas y la imposibilidad de actualizar son comunes, al igual que numerosas fallas, como credenciales codificadas, omisiones de autorización y verificación de autenticación fallida.

Cualquiera que use un dispositivo Nexx debería considerar seriamente retirarlo del servicio y reemplazarlo por otro, aunque la utilidad de este consejo es limitada ya que no hay garantía de que las alternativas sean más seguras.

Con tantos dispositivos en riesgo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ha emitido un consultor lo que sugiere que los usuarios tomen contramedidas que incluyen:

• Minimice la exposición de la red a todos los dispositivos y/o sistemas del sistema de control y asegúrese de que estén no accesible desde internet.
• Ubique redes de sistemas de control y dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
• Cuando se requiera acceso remoto, use métodos seguros como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que la VPN es tan segura como sus dispositivos conectados.

Obviamente, estas medidas son imposibles de implementar cuando se usan controladores Nexx, lo que nos lleva de vuelta a la inseguridad general de IoT y el consejo de Sabetan de simplemente abandonar el producto a menos que o hasta que llegue una solución.