\n<\/aside>\n<\/p>\n
El Akuvox E11 se anuncia como un videoportero, pero en realidad es mucho m\u00e1s que eso. El dispositivo conectado a la red abre las puertas de los edificios, proporciona transmisiones de video y micr\u00f3fono en vivo, toma una foto y la carga cada vez que alguien pasa, y registra cada entrada y salida en tiempo real. El motor de b\u00fasqueda de dispositivos de Censys muestra que aproximadamente 5000 de estos dispositivos est\u00e1n expuestos a Internet, pero es probable que haya muchos m\u00e1s que Censys no pueda ver por varias razones.<\/p>\n
Resulta que este dispositivo omnipotente y omnisciente est\u00e1 plagado de agujeros que brindan m\u00faltiples v\u00edas para poner datos confidenciales y capacidades poderosas en manos de los actores de amenazas que se toman el tiempo para analizar su funcionamiento interno. Eso es precisamente lo que hicieron los investigadores de la firma de seguridad Claroty. Los hallazgos son lo suficientemente serios como para que cualquier persona que use uno de estos dispositivos en una casa o edificio deba hacer una pausa en la lectura de este art\u00edculo, desconectar su E11 de Internet y evaluar a d\u00f3nde ir desde all\u00ed.<\/p>\n
Las 13 vulnerabilidades encontradas por Claroty incluyen una falta de autenticaci\u00f3n para funciones cr\u00edticas, falta de autorizaci\u00f3n o autorizaci\u00f3n incorrecta, claves codificadas que se cifran utilizando claves accesibles en lugar de cifradas criptogr\u00e1ficamente, y la exposici\u00f3n de informaci\u00f3n confidencial a usuarios no autorizados. A pesar de lo malas que son las vulnerabilidades, su amenaza se ve agravada por la falla de Akuvox, un proveedor l\u00edder con sede en China de intercomunicadores inteligentes y sistemas de entrada de puertas, para responder a m\u00faltiples mensajes de Claroty, el Centro de coordinaci\u00f3n CERT y Ciberseguridad y Seguridad de Infraestructura. Agencia en un lapso de seis semanas. Claroty y CISA publicaron p\u00fablicamente sus hallazgos el jueves aqu\u00ed y aqu\u00ed.<\/p>\n
Todas menos una de las vulnerabilidades permanecen sin corregir. Los representantes de Akuvox no respondieron a dos correos electr\u00f3nicos en busca de comentarios para este art\u00edculo.<\/p>\n
\u00bfQu\u00e9 est\u00e1 haciendo este dispositivo en mi oficina?<\/h2>\n Los investigadores de Claroty se toparon por primera vez con el E11 cuando se mudaron a una oficina con uno preinstalado en la puerta. Dado su acceso a las idas y venidas de empleados y visitantes y su capacidad para espiar y abrir puertas en tiempo real, decidieron mirar debajo del cap\u00f3. La primera bandera roja que encontraron los investigadores: las im\u00e1genes tomadas cada vez que se detectaba movimiento en la puerta se enviaban por FTP sin cifrar a un servidor Akuvox en un directorio que cualquiera pod\u00eda ver y, desde all\u00ed, descargar las im\u00e1genes enviadas por otros clientes.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\u201cNos sorprendi\u00f3 mucho cuando empezamos y vimos el FTP\u201d, dijo en una entrevista Amir Preminger, vicepresidente de investigaci\u00f3n en el grupo de investigaci\u00f3n Team82 de Claroty. \u201cNunca imaginamos encontrar un FTP a la vista. Primero bloqueamos el dispositivo, lo separamos de todo, lo colocamos en su propia isla y lo usamos de forma independiente. Estamos en el proceso de reemplazarlo\u201d.<\/p>\n
Mientras continuaba el an\u00e1lisis, el comportamiento del servidor FTP cambi\u00f3. El directorio ya no se puede ver, por lo que presumiblemente tampoco se puede descargar. Sin embargo, sigue existiendo una amenaza importante, ya que las cargas FTP no est\u00e1n cifradas. Eso significa que cualquier persona capaz de monitorear la conexi\u00f3n entre un E11 y Akuvox puede interceptar cargas.<\/p>\n
Otro hallazgo importante de los investigadores fue una falla en la interfaz que permite al propietario usar un navegador web para iniciar sesi\u00f3n en el dispositivo, controlarlo y acceder a transmisiones en vivo. Si bien la interfaz requiere credenciales para acceder, Claroty encontr\u00f3 rutas ocultas que daban acceso a algunas de las funciones web sin contrase\u00f1a. La vulnerabilidad, rastreada como CVE-2023-0354, funciona contra dispositivos que est\u00e1n expuestos a Internet usando una direcci\u00f3n IP est\u00e1tica. Los usuarios hacen esto para conectarse al dispositivo de forma remota mediante un navegador.<\/p>\n
Esa no es la \u00fanica vulnerabilidad que permite el acceso remoto no autorizado a un E11. El dispositivo tambi\u00e9n funciona con una aplicaci\u00f3n de tel\u00e9fono llamada SmartPlus que est\u00e1 disponible para Android e iOS. Permite el acceso remoto incluso cuando un E11 no est\u00e1 expuesto directamente a Internet, sino que est\u00e1 detr\u00e1s de un firewall que utiliza la traducci\u00f3n de direcciones de red.<\/p>\n
SmartPlus se comunica con el intercomunicador mediante el protocolo de inicio de sesi\u00f3n, un est\u00e1ndar abierto utilizado para comunicaciones en tiempo real, como llamadas de voz y video, mensajer\u00eda instant\u00e1nea y juegos.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Akuvox El Akuvox E11 se anuncia como un videoportero, pero en realidad es mucho m\u00e1s que eso. El dispositivo conectado a la red abre las puertas de los edificios, proporciona…<\/p>\n","protected":false},"author":1,"featured_media":506507,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[81423,193,11794,81422,16007,87,18465,84,1645,5472,2035],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/506506"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=506506"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/506506\/revisions"}],"predecessor-version":[{"id":506508,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/506506\/revisions\/506508"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/506507"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=506506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=506506"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=506506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}