Una vulnerabilidad en un sistema de control de acceso inteligente utilizado en miles de viviendas de alquiler en Estados Unidos permite a cualquier persona controlar de forma remota cualquier cerradura de una casa afectada. Pero Chirp Systems, la empresa que fabrica el sistema, ignoró las solicitudes para corregir la falla.
La agencia estadounidense de ciberseguridad CISA hizo público un aviso de seguridad la semana pasada diciendo que las aplicaciones telefónicas desarrolladas por Chirp, que los residentes usan en lugar de una llave para acceder a sus hogares, «almacenan incorrectamente» credenciales codificadas que pueden usarse para controlar remotamente cualquier Chirp- cerradura inteligente compatible.
Las aplicaciones que dependen de contraseñas almacenadas en su código fuente, conocidas como credenciales de codificación, son un riesgo para la seguridad porque cualquiera puede extraer y usar esas credenciales para realizar acciones que se hagan pasar por la aplicación. En este caso, las credenciales podrían ser utilizadas por cualquiera para bloquear o desbloquear de forma remota una cerradura de puerta conectada a Chirp a través de Internet.
En su aviso, CISA dijo que la explotación exitosa de la falla «podría permitir a un atacante tomar el control y obtener acceso físico sin restricciones» a las cerraduras inteligentes conectadas a un sistema doméstico inteligente Chirp. La agencia de ciberseguridad otorgó una puntuación de gravedad de la vulnerabilidad de 9,1 sobre un máximo de 10 por su “baja complejidad de ataque” y por su capacidad de ser explotada de forma remota.
La agencia de ciberseguridad dijo que Chirp Systems no había respondido ni a CISA ni al investigador que encontró la vulnerabilidad.
El investigador de seguridad Matt Brown le dijo al veterano periodista de seguridad Brian Krebs que notificó a Chirp sobre el problema de seguridad en marzo de 2021, pero que la vulnerabilidad sigue sin solucionarse.
Poco después de la publicación, Chirp dijo en un comunicado que no encontró “ninguna evidencia que respalde las afirmaciones” en el aviso. CISA actualizó su aviso para señalar que Chirp está «desarrollando un parche para abordar los problemas».
Chirp Systems es una de un número creciente de empresas en el espacio de tecnología inmobiliaria que brindan controles de acceso sin llave que se integran con tecnologías de hogares inteligentes a gigantes del alquiler. Las empresas de alquiler obligan cada vez más a los inquilinos a permitir la instalación de equipos domésticos inteligentes según lo dictan sus contratos de arrendamiento, pero en el mejor de los casos no está claro quién asume la responsabilidad o la propiedad cuando surgen problemas de seguridad.
El gigante inmobiliario y de alquiler Camden Property Trust firmó un acuerdo en 2020 para implementar cerraduras inteligentes conectadas a Chirp en más de 50.000 unidades en más de cien propiedades. No está claro si las propiedades afectadas como Camden son conscientes de la vulnerabilidad o han tomado medidas. Kim Callahan, portavoz de Camden, no respondió a una solicitud de comentarios.
Chirp fue comprada por el gigante del software de administración de propiedades RealPage en 2020, y RealPage fue adquirida por el gigante de capital privado Thoma Bravo más tarde ese año en un acuerdo de $ 10.2 mil millones. RealPage enfrenta varios desafíos legales por acusaciones de que su software de fijación de alquileres utiliza algoritmos secretos y patentados para ayudar a los propietarios a aumentar los alquileres más altos posibles para los inquilinos.
Ni RealPage ni Thoma Bravo aún no han reconocido las vulnerabilidades del software que adquirieron, ni han dicho si planean notificar a los residentes afectados sobre el riesgo de seguridad.
Megan Frank, portavoz de Thoma Bravo, tampoco respondió a las solicitudes de comentarios.
Actualizado con comentarios de RealPage y un aviso actualizado de CISA.