Google bloquea a Xiaomi de su plataforma debido a un incidente de seguridad

Xiaomi Surveillance Cameras Security Bug

Las personas tienden a reaccionar exageradamente a las noticias de seguridad cibernética de vez en cuando, especialmente cuando el incidente gira en torno a uno de los cada vez más numerosos dispositivos de IoT que se están convirtiendo en una parte integral de nuestra vida cotidiana. A veces, los investigadores de seguridad encuentran vulnerabilidades en esos dispositivos, que a menudo crean titulares apocalípticos y predicciones de fatalidad inminente. Sin embargo, en algunos casos, la atención de los medios es completamente injustificada porque la vulnerabilidad es difícil de explotar, y un ataque en la naturaleza no es práctico.

Recientemente, la gente ha estado hablando de un error en una de las cámaras de vigilancia baratas de Xiaomi. Ha atraído bastantes informes, tanto de medios especializados como de medios convencionales. Ahora intentaremos averiguar si todo el brouhaha es justificable.

Una mezcla de alimentación de video puede tener graves consecuencias de privacidad

Lo primero que probablemente deberíamos mencionar es que el error no fue descubierto por un investigador de seguridad. Fue revelado la semana pasada por un usuario de Reddit con el apodo Dio-V que había comprado una cámara de vigilancia IP barata en Internet. La cámara en cuestión era la Xiaomi Mijia 1080p, una solución aparentemente perfecta para cualquiera que intente obtener videovigilancia con un presupuesto. Además del precio atractivo de aproximadamente $ 20, el Mijia 1080p también ofrece integración con Google Home y Alexa de Amazon.

El propietario de Google Home, Dio-V, estaba ansioso por conectar la nueva cámara Xiaomi a su red y ver cómo funciona. Lo conectó a su dispositivo Nest e intentó acceder al video. Sin embargo, en lugar de ver una habitación familiar, vio una foto fija de la casa de otra persona. Desconcertado, refrescó la alimentación, y fue recibido con otra imagen fija, esta vez de la casa de una persona diferente.

Las marcas de tiempo en las imágenes sugieren que las cámaras que Dio-V estaba mirando estaban ubicadas en diferentes partes del mundo. Sin embargo, todas eran cámaras Xiaomi Mijia 1080p, lo que le dio a Dio-V una muy buena idea de dónde se encuentra el error.

Compartió sus hallazgos en Reddit , y el hilo se volvió viral con bastante rapidez. Esto realmente no debería ser una sorpresa.

Google suspende las integraciones de productos Home de Xiaomi debido al error

El error descubierto por Dio-V fue extremadamente grave. Algunas de las imágenes filtradas estaban corruptas, pero a pesar de esto, la vulnerabilidad significaba que las fotos de personas desprevenidas se filtraban mientras estaban en la privacidad de sus propios hogares. Además, si bien la explotación de otros agujeros de seguridad de IoT a menudo requiere alguna forma de "pirateo", adivinar contraseñas o escanear Internet para detectar redes mal configuradas, en el caso de la cámara IP barata de Xiaomi, el error se manifiesta en el momento en que el usuario toma la contraseña. dispositivo fuera de la caja. Debido a esto, Google no esperó una segunda invitación, e inmediatamente suspendió todas las integraciones de Xiaomi Mi Home con Google Home, a pesar de que el gigante electrónico chino no había confirmado la existencia del problema en ese momento.

Más tarde, Xiaomi admitió que el error era real. Fue causado por una actualización de caché implementada el 26 de diciembre que fue diseñada para mejorar la calidad de transmisión de la cámara. Según una declaración citada por la policía de Android , la vulnerabilidad tuvo un impacto limitado. Aparentemente, Xiaomi descubrió que solo 1.044 cámaras se vieron afectadas, y de ellas, solo aquellos que tenían una conexión de red deficiente podrían haber terminado mostrando imágenes de las casas de otras personas. El proveedor se disculpó por el problema y aseguró a los usuarios que ahora se ha resuelto. Sin embargo, aún no se sabe si Google ha restaurado las integraciones de Xiaomi Mi Home.

En este caso particular, podemos decir con seguridad que la atención que atrajo este incidente es totalmente justificable. Peor aún, sirve como prueba de que cuanto más conectado esté el mundo, más errores como este seremos testigos. Xiaomi no es el primer gran vendedor en descubrir que sus productos pueden comprometer la privacidad de las personas, y puede estar bastante seguro de que no será el último. Esto es algo en lo que probablemente debería pensar antes de conectar el próximo dispositivo novedoso a la red Wi-Fi de su hogar.

January 9, 2020

Deja una respuesta