RSAC
Los objetos cotidianos nos inspiran cierta confianza, como por ejemplo el control remoto de la TV: es difícil imaginar que pudiera estar espiando nuestras conversaciones; sin embargo, los investigadores en ciberseguridad, J. Lehman y Ofri Ziv de la empresa israelí Guardicore se las ingeniaron para que uno lo hiciera. Sus hallazgos los informaron en la Conferencia RSA 2021.
Cómo los investigadores hackearon el control
El tema de la investigación de Lehman y Ziv fue el control remoto del decodificador de Comcast, Xfinity X1, que es popular en los Estados Unidos (con más de 10 millones de usuarios, de acuerdo con los investigadores). El control remoto tiene soporte para comandos de voz, para lo cual está equipado con un micrófono y un procesador nada despreciable.
El dispositivo implementa dos tecnologías de transferencia de datos. Para cambiar canales y otras acciones simples, se utiliza un transmisor infrarrojo estándar, cuya importante ventaja yace en que consume muy poca energía, de manera que no es necesario recargar el control frecuentemente, lo que permite que funcione con pilas ordinarias por mucho tiempo.
Pero en casos en los que se requiere mayor velocidad de transferencia de datos, el control utiliza una interfaz de radio, lo que le permite no solo enviar datos al equipo, si no también recibirlos. La interfaz de radio consume más energía, así que solo se utiliza cuando es necesario.
Como muchos dispositivos modernos, este tipo de control remoto es, en esencia, una computadora conectada, y, por tanto, se puede hackear.
Después de estudiar el firmware del control remoto (con una copia almacenada para conveniencia en el disco duro del equipo), los investigadores pudieron determinar las alteraciones que le permitirían a este firmware controlar el dispositivo para convertirlo en un micrófono y transmitir sonido a través del canal de radio.
Pero modificar el firmware no fue suficiente; aún necesitaban una manera de cargarlo en el control, y de preferencia sin contacto físico. Para esto, Lehman y Ziv examinaron cómo el decodificador se comunica con el control remoto y actualiza su software.
Descubrieron que el control tenía que iniciar el proceso de actualización. Cada 24 horas, el control remoto consulta al equipo y recibe una respuesta negativa o la posibilidad de instalar una versión nueva del software, el cual descarga desde el decodificador.
Los investigadores también descubrieron varios defectos críticos en el mecanismo de comunicación entre el control remoto y el Xfinity. En primer lugar, el control no verifica la autenticidad del firmware, así que descarga e instala cualquiera que el decodificador (o la computadora del cibercriminal) le ofrezca.
En segundo lugar, si bien el equipo y el control remoto intercambian mensajes cifrados, el cifrado no está bien implementado. El control remoto acepta (y ejecuta) los comandos que se envían en texto plano marcados como “cifrado desactivado”. Las solicitudes del control remoto aún están cifradas y, por lo tanto, no pueden descifrarse, pero con solo entender el mecanismo de comunicación se puede adivinar de manera efectiva lo que el control pide y dar la respuesta correcta.
Es algo así:
“¿YdvJhd8w@a&hW*wy5TOxn3B*El06%D7?”
“Claro, hay una actualización de firmware disponible para tu descarga.”
“Cj@EDkjGL01L^NgW@Fryp1unc1GTZIYM.”
“Enviando el archivo; acéptalo”.
En tercer lugar, es muy fácil detonar un error en el módulo del firmware que se encarga de la comunicación con el control remoto, lo que ocasiona que el módulo falle y se reinicie. Esto abre una ventana durante la cual el atacante tiene la seguridad de ser el único que dé órdenes al control remoto.
Por lo tanto, para hackear el control, es necesario:
- Esperar a que el control haga su solicitud y adivinar cuando su consulta sea sobre actualizaciones.
- Tirar el módulo del equipo responsable de la comunicación con el control remoto en el momento en el que este haga una consulta de actualización.
- Dar una respuesta afirmativa al control y enviar un archivo modificado para carga.
Todo esto sucede sin contacto, a través de la interfaz de radio.
Los investigadores llenaron su control remoto con firmware modificado que preguntaba sobre actualizaciones no cada 24 horas, sino cada minuto. Posteriormente, tras recibir cierta respuesta, encendieron el micrófono integrado y transmitieron el sonido a los atacantes. Sus pruebas tuvieron éxito en un rango relativamente largo y a través de una pared que simulaba una camioneta intervenida afuera de una casa.
Cómo protegerse
En nuestra opinión, no tiene caso preocuparte por que alguien hackee tu control remoto y lo convierta en un dispositivo espía porque, aunque ya se demostró que es posible, el ataque no es tan práctico. Podría ser adecuado para un ataque dirigido a alguien en particular, pero es demasiado complejo y tardado como para usarlo a gran escala. Habiendo dicho esto, dejamos algunos consejos para quienes les gusta estar prevenidos:
- Si tienes un decodificador de TV Xfinity, revisa la versión del firmware del control remoto. Los investigadores cumplieron con su responsabilidad y comunicaron las vulnerabilidades a Comcast, a lo que la empresa publicó una actualización para arreglar el problema.
- Es probable que los controles remotos de los decodificadores de TV y televisores de otros fabricantesque tienen soporte de voz funcionen con el mismo principio y tengan vulnerabilidades similares. Así que, verifica regularmente las actualizaciones de tu control remoto e instálalas cuando estén disponibles. Los menús correspondientes en las TV y los decodificadores probablemente están junto a las configuraciones de Wi-Fi y Bluetooth.
- Considera desarmar el control remoto para quitar físicamente el micrófono si es que cuenta con soporte para comandos de voz, pero nunca los utilizas. Creemos que hacerlo es una exageración, pero es una opción.
- Ten en cuenta que un ataque a tu red de Wi-Fi es mucho más probable que un ataque así de exótico. Asegúrate de configurar la tuya de manera segura, cambia todos los dispositivos de IoT vulnerables a una red para invitados, y utiliza una conexión segura para proteger la información más valiosa.
Consejos