Una de las mejores partes de las cámaras de interior Netatmo es su capacidad para reconocer a la familia e ignorarla a ellos o a extraños en su casa y advertirle. Desafortunadamente, las cámaras tenían una vulnerabilidad que permitía a un atacante obtener acceso a toda su red. La buena noticia es que la vulnerabilidad fue difícil de explotar. La mejor noticia es que Netatmo ya ha solucionado el problema.
El objetivo de las cámaras de Netatmo es proporcionar seguridad. Eso empeora aún más que un hacker podría usar uno para violar su red. Eso es lo que descubrió Bitdefender cuando investigó las cámaras. Como explica PCMag, en una empresa conjunta con Bitdefender, un pirata informático podría apoderarse de su cámara y ejecutar el código que quisiera.
Con esa capacidad, el mal actor podría hacer casi cualquier cosa que quisiera en su red.
Como explicó Bitdefender:
El Equipo de Investigación de Vulnerabilidad de IoT de Bitdefender descubrió que el dispositivo es susceptible a una escritura de archivo autenticada que conduce a la ejecución del comando (CVE-2019-17101), así como a una escalada de privilegios a través de dirtyc0w, un error de escalada de privilegios locales que explota una condición de carrera en la implementación del mecanismo de copia en escritura en el subsistema de gestión de memoria del núcleo.
Pero explotar la vulnerabilidad no hubiera sido fácil. El hacker necesitaba acceso local a su cámara y conocer sus credenciales de inicio de sesión. Irrumpir en su casa y robar su nombre de usuario y contraseña no es una hazaña pequeña, el escenario más plausible parece ser alguien que conoce y decide entrar en su red.
Bitdefender señaló que la vulnerabilidad podría tener un uso legítimo. Con acceso a su propia cámara y sus credenciales, puede usar este método para liberar su dispositivo. Pero el sitio de seguridad continuó diciendo que los escenarios de jailbreak siguen siendo vulnerabilidades que los hackers pueden explotar.
Afortunadamente, Bitdefender practicó la divulgación responsable y le dio a Netatmo 90 días para solucionar el problema antes de hacer pública la información. Por su parte, Netatmo también respondió responsablemente. Reconoció el problema dentro de los tres días posteriores a la recepción del informe, y luego se dio la vuelta y lanzó un parche en menos de un mes.
Mientras existan dispositivos de seguridad e inteligentes para el hogar, también existirán vulnerabilidades. La parte importante es cómo una empresa responde a las revelaciones de vulnerabilidad, y Netatmo lo hizo bien en este caso. Si posee una cámara de interior Netatmo, no necesita hacer nada. La compañía de cámaras parchó a todos los afectados.
a través de PCMag, Bitdefender