HP
ha publicado un estudio sobre la seguridad en los smartwatches o relojes
inteligentes según la cual todos los dispositivos analizados se ven afectados
por algún problema de seguridad.
 |
| Fuente: HP. Internet of Things Security Study: Smartwatches |
HP ha dado a conocer los
resultados de una evaluación que confirma que los smartwatches con funcionalidades
de red y comunicaciones representan una nueva puerta de ataques. El estudio
realizado por HP Fortify encontró que el cien por cien de los relojes evaluados
contienen importantes vulnerabilidades, incluyendo autenticación insuficiente,
falta de cifrado y problemas de privacidad.
HP ha realizado su estudio sobre
10 relojes inteligentes y sus aplicaciones móviles para iOS y Android, si bien
en ningún momento del estudio se mencionan los relojes analizados, un dato que
sin duda daría más valor al informe. Se puede pensar que para el estudio al
menos se han incluido los relojes más populares, pero dada la diversidad de
smartwatches existentes en el mercado, versiones, etc. sería importante conocer
los relojes y los problemas que afectan a cada uno. HP considera que la
similitud en los resultados de los 10 smartwatches analizados constituye un
buen indicador del estado actual en materia de seguridad de los relojes
inteligentes.
Lo que sí se especifica
claramente es que para las pruebas se ha empleado el "OWASP Internet of Things Top 10" y las vulnerabilidades especificadas
asociadas para cada categoría.
Los problemas más sencillos y comunes
descritos en el informe incluyen:
- Insuficiente autorización o autenticación de usuario. Todos los relojes
fueron emparejados con una interfaz móvil que carecía de autenticación de dos
factores y la capacidad de bloquear las cuentas después de varios intentos
fallidos de contraseña. Tres de cada diez, el 30 por ciento, eran vulnerables a
la obtención de la cuenta. Esto es, un atacante podría obtener acceso al
dispositivo y los datos a través de una combinación de políticas débiles de contraseñas,
falta de bloqueo de cuentas y enumeración de usuario.
- Carencia de comunicaciones cifradas. El cifrado de las
comunicaciones se considera crítico dado que se está transmitiendo información personal.
Todos los relojes evaluados implementaban comunicaciones cifradas mediante
SSL/TLS, sin embargo cuatro de ellos eran vulnerables a un ataque POODLE.
- Interfaces inseguras: tres de los smartwaches evaluados (30%) utilizaban
interfaces web basados en la nube, que además se veían expuestos a problemas de
enumeración de cuentas. El mismo porcentaje en lo que se refería a las
aplicaciones móviles.
- Firmware/software inseguro. Un 70% de los relojes inteligentes probados
presentaban problemas en la protección de las actualizaciones del firmware,
incluyendo transmisión de actualizaciones de firmware y archivos de
actualización sin cifrar. Sin embargo, para evitar la instalación de firmware malicioso
muchas actualizaciones estaban firmadas.
- Problemas de privacidad. Todos smartwatches recogen algún tipo de
información personal, como nombre, dirección, fecha de nacimiento, peso, sexo,
frecuencia cardíaca y otros datos sobre la salud del usuario. Dada la
posibilidad de enumeración de cuentas y la utilización de contraseñas débiles
en algunos productos, la exposición de esta información personal es un motivo
de preocupación.
HP Study Reveals Smartwatches Vulnerable to
Attack
Internet of Things Security Study: Smartwatches
OWASP Internet of Things Top 10
una-al-dia (15/10/2014) SSL
tocado y hundido
Antonio Ropero
