El acceso a las cámaras del timbre se puede mantener incluso después de un cambio de contraseña, descubre un estudiante de Florida

Un estudio reciente mostró que cuando se trata de cuentas en línea, los usuarios no están tan interesados en cambiar sus contraseñas, incluso cuando hay evidencia de que sus datos de inicio de sesión pueden haber sido comprometidos. Claramente no están especialmente familiarizados con los peligros potenciales asociados con esto, y muchos de ellos han adoptado la mentalidad de 'no me va a pasar a mí'.

Sin embargo, si se trata de cámaras de seguridad instaladas en sus hogares, probablemente serán mucho más cuidadosas. El impacto potencial en la privacidad de una persona es mucho más obvio, y es probable que los usuarios sean más conscientes de las consecuencias, lo que significa que utilizarán todas las herramientas de control de acceso que tienen para garantizar que sus cámaras no sean accesibles para los extraños. Sin embargo, otro trabajo de investigación académica muestra que esto podría ser mucho más difícil de lo que parece.

Cuando se trata de cámaras IoT, una contraseña cambiada no necesariamente significa acceso revocado

El estudio fue realizado por Blake Janes, un estudiante del Instituto de Tecnología de Florida, y se basa en un escenario muy plausible. Imagine una pareja llamada Alice y Bob, que viven en una casa equipada con cámaras de seguridad y timbres conectados a Internet. Ambos tienen acceso a la transmisión en vivo desde las cámaras y pueden controlarlos. En un momento, sin embargo, los dos se separaron, y Bob se muda. Alice quiere asegurarse de que Bob ya no tenga acceso a los dispositivos de vigilancia, por lo que cambia las contraseñas de las cámaras o utiliza otras herramientas disponibles para asegurarse de que solo ella pueda ver la transmisión. Lo que descubrió Blake Janes es que con muchas cámaras modernas, Bob podrá acceder a la transmisión de video incluso después del cambio de contraseña.

Janes tomó 19 de las cámaras conectadas a Internet más populares del año pasado, y realizó no uno sino dos experimentos. Primero, intentó restringir el acceso a las cámaras cambiando las contraseñas, pero descubrió que solo 3 de los 19 dispositivos bloquearon a Bob de inmediato. Algunas de las transmisiones de video permanecieron disponibles durante más de 30 minutos después del cambio de contraseña, y 4 de las cámaras incluso dejaron a Bob con derechos administrativos para controlar los dispositivos.

El segundo escenario involucraba revocar completamente la cuenta de Bob. 13 de las 19 cámaras admiten varias cuentas, y todas no pudieron cortar de inmediato el acceso de Bob a la fuente. Ocho de ellos permanecieron abiertos durante más de 30 minutos.

No es una vulnerabilidad, es una falla de diseño

El mecanismo de autenticación con estos dispositivos es bastante complejo. Cuando Bob inicia sesión en su cuenta, se conecta al servidor API del fabricante. A partir de ahí, recibe un token que le permite acceder a la transmisión de la cámara alojada en otro servidor. Cuando Alice cambia la contraseña de la cámara o revoca la cuenta de Bob, ella corta su acceso al servidor API, lo que significa que Bob no puede obtener un nuevo token. Sin embargo, ya tiene uno y, en algunos casos, sigue siendo válido durante bastante tiempo.

El principal problema radica en la larga caducidad del token, aunque Blake Janes señala otros problemas, como la falta de notificación cuando se trata de quién está accediendo a los dispositivos y las políticas de control de acceso relajado de los propios servidores. El experimento mostró que las cámaras Nest de Google sufren los mismos problemas, por lo que Janes recibió un poco más de $ 3,000 como parte del programa de recompensas de errores del gigante de los motores de búsqueda.

Sin embargo, cuando lea su trabajo de investigación, se quedará con la impresión de que esto no es un error, sino una decisión de diseño consciente. La larga caducidad del token quita un poco de presión a los servidores y elimina la necesidad de ingresar nombres de usuario y contraseñas todo el tiempo. Según el documento, las aplicaciones no muestran notificaciones de acceso constante para reducir lo que se conoce como fatiga de advertencia. En otras palabras, todos estos defectos son el resultado del intento de los proveedores de hacer que los dispositivos sean más fáciles de usar.

Es otro triunfo de la usabilidad sobre la seguridad. Esta vez, sin embargo, se trata de dispositivos que se supone que nos mantienen a nosotros y a nuestra privacidad segura, por lo que algunos de los proveedores ya están trabajando en los problemas destacados por la investigación de Blake Janes. Esperamos que encuentren soluciones pronto.