{"id":557392,"date":"2023-04-05T20:39:29","date_gmt":"2023-04-05T20:39:29","guid":{"rendered":"https:\/\/magazineoffice.com\/abra-puertas-de-garaje-en-cualquier-parte-del-mundo-utilizando-este-dispositivo-inteligente\/"},"modified":"2023-04-05T20:39:32","modified_gmt":"2023-04-05T20:39:32","slug":"abra-puertas-de-garaje-en-cualquier-parte-del-mundo-utilizando-este-dispositivo-inteligente","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/abra-puertas-de-garaje-en-cualquier-parte-del-mundo-utilizando-este-dispositivo-inteligente\/","title":{"rendered":"Abra puertas de garaje en cualquier parte del mundo utilizando este dispositivo \u00abinteligente\u00bb"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<figure class=\"intro-image intro-left\"><figcaption class=\"caption\">\n<p>im\u00e1genes falsas<\/p>\n<\/figcaption><\/figure>\n<aside id=\"social-left\" class=\"social-left\" aria-label=\"Read the comments or share this article\">\n<\/aside>\n<p><!-- cache hit 10:single\/related:0d1990a31787a803c4501c82064ef188 --><!-- empty --><\/p>\n<p>Un controlador de puerta de garaje l\u00edder en el mercado est\u00e1 tan plagado de graves vulnerabilidades de seguridad y privacidad que el investigador que las descubri\u00f3, Sam Sabetan, aconseja a cualquiera que use uno que lo desconecte de inmediato hasta que se solucionen.<\/p>\n<p>Cada dispositivo de $80, que se usa para abrir y cerrar puertas de garaje y controlar alarmas de seguridad del hogar y enchufes inteligentes, emplea la misma contrase\u00f1a universal f\u00e1cil de encontrar para comunicarse con los servidores Nexx.  Los controladores tambi\u00e9n transmiten la direcci\u00f3n de correo electr\u00f3nico no encriptada, la identificaci\u00f3n del dispositivo, el nombre y la \u00faltima inicial correspondiente a cada uno, junto con el mensaje requerido para abrir o cerrar una puerta o encender o apagar un enchufe inteligente o programar dicho comando para m\u00e1s tarde. tiempo.<\/p>\n<h2>Desconecte inmediatamente todos los dispositivos Nexx<\/h2>\n<p>El resultado: cualquier persona con una formaci\u00f3n t\u00e9cnica moderada puede buscar en los servidores Nexx una direcci\u00f3n de correo electr\u00f3nico, un ID de dispositivo o un nombre determinados y luego emitir comandos al controlador asociado.  (Los controladores Nexx para alarmas de seguridad dom\u00e9stica son susceptibles a una clase similar de vulnerabilidades). Los comandos permiten abrir una puerta, apagar un dispositivo conectado a un enchufe inteligente o desactivar una alarma.  Peor a\u00fan, durante los \u00faltimos tres meses, el personal de Nexx, con sede en Texas, no ha respondido a m\u00faltiples mensajes privados que advierten sobre las vulnerabilidades.<\/p>\n<p>\u201cNexx ha ignorado constantemente los intentos de comunicaci\u00f3n de m\u00ed mismo, del Departamento de Seguridad Nacional y de los medios\u201d, escribi\u00f3 Sabetan en una publicaci\u00f3n publicada el martes.  \u00abLos propietarios de dispositivos deben desconectar inmediatamente todos los dispositivos Nexx y crear tickets de soporte con la empresa para solicitarles que solucionen el problema\u00bb.<\/p>\n<p>Sabetan estima que m\u00e1s de 40 000 dispositivos, ubicados en propiedades residenciales y comerciales, se ven afectados, y m\u00e1s de 20 000 personas tienen cuentas Nexx activas.<\/p>\n<p>Los controladores Nexx permiten que las personas usen sus tel\u00e9fonos o asistentes de voz para abrir y cerrar las puertas de su garaje, ya sea a pedido o en momentos programados del d\u00eda.  Los dispositivos tambi\u00e9n se pueden usar para controlar las alarmas de seguridad del hogar y los enchufes inteligentes que se usan para encender o apagar los electrodom\u00e9sticos de forma remota.  El centro de este sistema son los servidores operados por Nexx, a los que se conectan tanto el tel\u00e9fono o el asistente de voz como el abridor de la puerta del garaje.  El proceso de cinco pasos para inscribir un nuevo dispositivo se ve as\u00ed:<\/p>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio <\/span>    <\/p>\n<\/aside>\n<ol>\n<li>El usuario registra su nuevo dispositivo Nexx con Nexx Cloud a trav\u00e9s de la aplicaci\u00f3n m\u00f3vil Nexx Home.<\/li>\n<li>Detr\u00e1s de escena, Nexx Cloud devuelve una contrase\u00f1a para que el dispositivo la use para comunicaciones seguras con Nexx Cloud.<\/li>\n<li>La contrase\u00f1a se transmite al tel\u00e9fono del usuario y se env\u00eda al dispositivo Nexx mediante Bluetooth o Wi-Fi.<\/li>\n<li>El dispositivo Nexx establece una conexi\u00f3n independiente con Nexx Cloud utilizando la contrase\u00f1a proporcionada.<\/li>\n<li>El usuario ahora puede operar la puerta de su garaje de forma remota utilizando la aplicaci\u00f3n m\u00f3vil Nexx.<\/li>\n<\/ol>\n<p>Esta es una ilustraci\u00f3n del proceso:<\/p>\n<figure class=\"image shortcode-img full full-width\" style=\"width:1200px\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/04\/nexx-opener-illustration.gif\" width=\"1200\" height=\"933\"\/><figcaption class=\"caption\">\n<p>sam sabetan<\/p>\n<\/figcaption><\/figure>\n<h2>Una contrase\u00f1a universal f\u00e1cil de encontrar<\/h2>\n<p>Para que todo esto funcione, los controladores utilizan un protocolo ligero conocido como MQTT.  Abreviatura de Message Queuing Telemetry Transport, se usa en redes de bajo ancho de banda, alta latencia o inestables para fomentar una comunicaci\u00f3n eficiente y confiable entre dispositivos y servicios en la nube.  Para hacer esto, Nexx utiliza un modelo de publicaci\u00f3n para suscripci\u00f3n, en el que se env\u00eda un solo mensaje entre los dispositivos suscritos (el tel\u00e9fono, el asistente de voz y el abre-puertas de garaje) y un agente central (la nube de Nexx).<\/p>\n<p>Sabetan descubri\u00f3 que los dispositivos usan la misma contrase\u00f1a para comunicarse con la nube Nexx.  Adem\u00e1s, esta contrase\u00f1a se puede obtener f\u00e1cilmente simplemente analizando el firmware enviado con el dispositivo o la comunicaci\u00f3n de ida y vuelta entre un dispositivo y la nube Nexx.<\/p>\n<p>\u201cUsar una contrase\u00f1a universal para todos los dispositivos presenta una vulnerabilidad significativa, ya que los usuarios no autorizados pueden acceder a todo el ecosistema al obtener la contrase\u00f1a compartida\u201d, escribi\u00f3 Sabetan.  \u201cAl hacerlo, podr\u00edan comprometer no solo la privacidad sino tambi\u00e9n la seguridad de los clientes de Nexx al controlar las puertas de su garaje sin su consentimiento\u201d.<\/p>\n<p>Cuando Sabetan us\u00f3 esta contrase\u00f1a para acceder al servidor, encontr\u00f3 r\u00e1pidamente no solo comunicaciones entre su dispositivo y la nube, sino tambi\u00e9n comunicaciones para otros dispositivos Nexx y la nube.  Eso significaba que pod\u00eda filtrar las direcciones de correo electr\u00f3nico, los apellidos, las iniciales y las identificaciones de dispositivos de otros usuarios para identificar a los clientes en funci\u00f3n de la informaci\u00f3n \u00fanica compartida en estos mensajes.<\/p>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio <\/span>    <\/p>\n<\/aside>\n<p>Pero se pone peor a\u00fan.  Sabetan pod\u00eda copiar mensajes emitidos por otros usuarios para abrir sus puertas y reproducirlos a voluntad, desde cualquier parte del mundo.  Eso significaba que una simple operaci\u00f3n de cortar y pegar era suficiente para controlar cualquier dispositivo Nexx sin importar d\u00f3nde estuviera ubicado.<\/p>\n<p>A continuaci\u00f3n se muestra un video de prueba de concepto que demuestra el truco:<\/p>\n<figure class=\"video\">\n<p><iframe loading=\"lazy\" title=\"NexxHome Smart Garage Vulnerability - CVE-2023-1748\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/kD1cBfv9To8?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p><figcaption class=\"caption\">\n<p>Vulnerabilidad del garaje inteligente NexxHome (CVE-2023-1748).<\/p>\n<\/figcaption><\/figure>\n<p>Este evento trae a la mente el gastado clich\u00e9 de que la S en IoT, abreviatura del t\u00e9rmino gen\u00e9rico Internet de las cosas, significa seguridad.  Si bien muchos dispositivos IoT brindan comodidad, una gran cantidad de ellos est\u00e1n dise\u00f1ados con protecciones de seguridad m\u00ednimas.  El firmware desactualizado con vulnerabilidades conocidas y la incapacidad de actualizar son t\u00edpicos, al igual que una mir\u00edada de fallas, como credenciales codificadas, omisiones de autorizaci\u00f3n y verificaci\u00f3n de autenticaci\u00f3n defectuosa.<\/p>\n<p>Cualquiera que use un dispositivo Nexx deber\u00eda considerar seriamente deshabilitarlo y reemplazarlo por otro, aunque la utilidad de este consejo es limitada ya que no hay garant\u00eda de que las alternativas sean m\u00e1s seguras.<\/p>\n<p>Con tantos dispositivos en riesgo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. emiti\u00f3 un aviso que sugiere que los usuarios tomen medidas defensivas, que incluyen:<\/p>\n<ul>\n<li aria-level=\"1\">Minimizar la exposici\u00f3n de la red para todos los dispositivos y\/o sistemas del sistema de control, asegurando que no sean accesibles desde Internet.<\/li>\n<li aria-level=\"1\">Ubicar redes de sistemas de control y dispositivos remotos detr\u00e1s de firewalls y aislarlos de las redes comerciales.<\/li>\n<li aria-level=\"1\">Cuando se requiere acceso remoto, utilizando m\u00e9todos seguros, como redes privadas virtuales (VPN), el reconocimiento de VPN puede tener vulnerabilidades y debe actualizarse a la versi\u00f3n m\u00e1s reciente disponible.  Tambi\u00e9n reconoce que una VPN es tan segura como sus dispositivos conectados.<\/li>\n<\/ul>\n<p>Por supuesto, esas medidas son imposibles de implementar cuando se usan los controladores Nexx, lo que nos lleva de vuelta a la inseguridad general de IoT y el consejo de Sabetan de simplemente deshacerse del producto a menos que o hasta que llegue una soluci\u00f3n.<\/p>\n<\/p><\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>im\u00e1genes falsas Un controlador de puerta de garaje l\u00edder en el mercado est\u00e1 tan plagado de graves vulnerabilidades de seguridad y privacidad que el investigador que las descubri\u00f3, Sam Sabetan,&hellip;<\/p>\n","protected":false},"author":1,"featured_media":557394,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[20096,1353,194,16007,87,445,1944,1146,730,7640,27663],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/557392"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=557392"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/557392\/revisions"}],"predecessor-version":[{"id":557395,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/557392\/revisions\/557395"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/557394"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=557392"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=557392"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=557392"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}