Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
-
▼
noviembre
(Total:
21
)
- macOS High Sierra permite iniciar sesión root sin ...
- Grave vulnerabilidad RCE en servidor de correo Exim
- Imgur también fue hackeada en 2014 con 1,7 millone...
- Estados Unidos pondrá fin a la neutralidad de la r...
- El atacante de HBO es de Irán y por eso el FBI no ...
- Refrigeración líquida extrema: meter el ordenador ...
- Herramienta para detectar el backdoor en Intel Man...
- Disponible Kali Linux 2017.3: distribución orienta...
- Google admite que Android sabe dónde estás, aunque...
- Uber sufrió un hackeo con robo de 57 millones de c...
- Vulnerabilidad en Android permite grabar la pantal...
- Vectores de ataque más comunes documentos de Office
- 9.9.9.9, nuevos DNS públicos especializados en blo...
- Un fallo de seguridad en el sistema de Amazon Key ...
- El retorno de la No cON Name los días 24-25 de nov...
- Desactivada la firma digital de los DNI por fallo ...
- Intel se alía con AMD para crear gráficos Radeon y...
- Un empleado de Microsoft instala Google Chrome en ...
- No soy un robot: la inteligencia artificial que en...
- España revalida título de campeona del European Cy...
- Empleado de Twitter borra la cuenta de Donald Trum...
- ► septiembre (Total: 16 )
-
▼
noviembre
(Total:
21
)
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Un fallo de seguridad en el sistema de Amazon Key permite entrar intrusos en tu casa
sábado, 18 de noviembre de 2017
|
Publicado por
el-brujo
|
Editar entrada
Hace algunas semanas Amazon lanzó en Estados Unidos un novedoso servicio llamado Key gracias al cual sus mensajeros pueden dejar los paquetes dentro de casa.
El sistema requiere una cerradura electrónica y utiliza la cámara
domótica Amazon Cloud Cam para informar al usuario de la llegada de sus
pedidos, dejando constancia del paso en forma de vídeo. Pero ahora se ha descubierto que presenta un grave fallo.
Este fallo permitiría a cualquier intruso entrar en nuestro hogar de forma bastante sencilla, además de invisible, ya que para el sistema de seguridad nadie habría pasado por la puerta de entrada en ningún momento. Para lograrlo, tal y como informa Wired, el intruso tan sólo tiene que acceder a la red Wi-Fi de la vivienda donde esté instalado el sistema de Amazon Key y ejecutar un comando concreto que logra desbloquear la puerta de entrada y congelar la cámara de seguridad del gigante las compras online.
Pese a que todo el proceso está supervisado y se puede seguir por el móvil, más de un cliente de Amazon ha mostrado sus reticencias a dejar que un completo desconocido pueda abrir la puerta de casa aunque sea por solo unos instantes. Bien, la firma Rhino Security Labs ha descubierto que un fallo en la Cloud Cam podría permitir que un repartidor con malas intenciones se colara fácilmente en casa o que un ladrón aprovechara una entrega para hacer lo mismo.
El método desarrollado por Rhino Security es relativamente sencillo y consiste en enviar una señal de desautorización a la Cloud Cam mediante un dispositivo Wi-Fi como por ejemplo una Raspberry Pi, expulsando temporalmente a la cámara de la red. Este ataque puede repetirse continuamente, permitiendo al mensajero entrar en casa sin que pueda ser monitorizado.
La apertura no autorizada de la puerta es posible puesto que el cierre se desconecta cuando la cámara pierde la conexión a la red Wi-Fi. Esto se debe a que la cerradura electrónica carece de acceso a Internet por sí misma y utiliza la cámara de seguridad como puente al router.
Peor aún, cuando la cámara pierde la conexión a la red Wi-Fi muestra al usuario el último frame capturado antes de la desconexión. Esto hace sencillo engañar al cliente, haciéndole creer que la puerta está cerrada cuando en realidad hay un desconocido haciendo lo que no debería hacer.
Este fallo permitiría a cualquier intruso entrar en nuestro hogar de forma bastante sencilla, además de invisible, ya que para el sistema de seguridad nadie habría pasado por la puerta de entrada en ningún momento. Para lograrlo, tal y como informa Wired, el intruso tan sólo tiene que acceder a la red Wi-Fi de la vivienda donde esté instalado el sistema de Amazon Key y ejecutar un comando concreto que logra desbloquear la puerta de entrada y congelar la cámara de seguridad del gigante las compras online.
Pese a que todo el proceso está supervisado y se puede seguir por el móvil, más de un cliente de Amazon ha mostrado sus reticencias a dejar que un completo desconocido pueda abrir la puerta de casa aunque sea por solo unos instantes. Bien, la firma Rhino Security Labs ha descubierto que un fallo en la Cloud Cam podría permitir que un repartidor con malas intenciones se colara fácilmente en casa o que un ladrón aprovechara una entrega para hacer lo mismo.
El método desarrollado por Rhino Security es relativamente sencillo y consiste en enviar una señal de desautorización a la Cloud Cam mediante un dispositivo Wi-Fi como por ejemplo una Raspberry Pi, expulsando temporalmente a la cámara de la red. Este ataque puede repetirse continuamente, permitiendo al mensajero entrar en casa sin que pueda ser monitorizado.
La apertura no autorizada de la puerta es posible puesto que el cierre se desconecta cuando la cámara pierde la conexión a la red Wi-Fi. Esto se debe a que la cerradura electrónica carece de acceso a Internet por sí misma y utiliza la cámara de seguridad como puente al router.
Peor aún, cuando la cámara pierde la conexión a la red Wi-Fi muestra al usuario el último frame capturado antes de la desconexión. Esto hace sencillo engañar al cliente, haciéndole creer que la puerta está cerrada cuando en realidad hay un desconocido haciendo lo que no debería hacer.
Al margen del acceso no autorizado
por parte de un mensajero, también existe la posibilidad de que un
ladrón le esté esperando y desconecte la cámara justo cuando se está
cerrando la puerta, impidiendo su bloqueo.
Según los investigadores, este ataque presenta más dificultades. De entrada, el mensajero podría percatarse de que no se activa el cerrojo. Asimismo, la aplicación de Amazon utilizada para abrir y entregar los paquetes muestra una notificación cuando se activa el cerrojo, y la compañía ha instruido a su personal para que comprueben que la puerta está correctamente asegurada antes de abandonar el domicilio. Si ven que el cierre permanece desactivado tras varios minutos, deben llamar al cliente.
Amazon ha sido alertada y afirma que esta misma semana lanzará una actualización que proporcionará notificaciones cuando la cámara pierda la conexión durante el proceso de entrega. Además, la compañía ha querido tranquilizar a sus clientes afirmando que examina los antecedentes de los repartidores y que cada una de sus rutas está asignada de forma individual.
Como señala Wired, una forma de evitar posibles problemas sería instalar una cámara de respaldo fabricada por otra compañía para comprobar si la imagen se ha congelado en el momento de la entrega o si por el contrario funciona correctamente y no hay actividad. O como señala Ben Caudill, fundador de Rhino Security y algo más tajante, basta con no usar Amazon Key.
Según los investigadores, este ataque presenta más dificultades. De entrada, el mensajero podría percatarse de que no se activa el cerrojo. Asimismo, la aplicación de Amazon utilizada para abrir y entregar los paquetes muestra una notificación cuando se activa el cerrojo, y la compañía ha instruido a su personal para que comprueben que la puerta está correctamente asegurada antes de abandonar el domicilio. Si ven que el cierre permanece desactivado tras varios minutos, deben llamar al cliente.
Amazon ha sido alertada y afirma que esta misma semana lanzará una actualización que proporcionará notificaciones cuando la cámara pierda la conexión durante el proceso de entrega. Además, la compañía ha querido tranquilizar a sus clientes afirmando que examina los antecedentes de los repartidores y que cada una de sus rutas está asignada de forma individual.
Como señala Wired, una forma de evitar posibles problemas sería instalar una cámara de respaldo fabricada por otra compañía para comprobar si la imagen se ha congelado en el momento de la entrega o si por el contrario funciona correctamente y no hay actividad. O como señala Ben Caudill, fundador de Rhino Security y algo más tajante, basta con no usar Amazon Key.
Fuentes:
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.