{"id":28158,"date":"2025-06-01T12:03:58","date_gmt":"2025-06-01T18:03:58","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28158"},"modified":"2025-06-01T12:03:58","modified_gmt":"2025-06-01T18:03:58","slug":"vulnerability-in-smart-home-control-app","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/vulnerability-in-smart-home-control-app\/28158\/","title":{"rendered":"Un hogar no tan inteligente"},"content":{"rendered":"

Los hogares inteligentes de hoy no se parecen en nada a la ciencia ficci\u00f3n de las pel\u00edculas a finales de los 90<\/a>. Son una realidad para casi todas las personas que viven en una ciudad grande. Te resultar\u00e1 dif\u00edcil encontrar un apartamento moderno sin enchufes, altavoces o televisores inteligentes. En construcciones nuevas, a veces ver\u00e1s hogares construidos desde el primer momento para que sean inteligentes<\/em>, lo que resulta en complejos residenciales inteligentes<\/em>. Los residentes pueden administrar no solo sus dispositivos en el apartamento, sino tambi\u00e9n sistemas externos como intercomunicadores, c\u00e1maras, portones, medidores de servicios p\u00fablicos y alarmas de incendio, todo a trav\u00e9s de una sola aplicaci\u00f3n.<\/p>\n

Pero, \u00bfqu\u00e9 sucede si hay una vulnerabilidad de seguridad en una aplicaci\u00f3n como esa? Nuestros expertos de GReAT tienen la respuesta. Descubrieron una vulnerabilidad en la aplicaci\u00f3n Rubetek Home y analizaron los posibles riesgos de seguridad para los propietarios de hogares inteligentes que, afortunadamente, no se materializaron.<\/p>\n

De qu\u00e9 se trataba la vulnerabilidad<\/h2>\n

Esta vulnerabilidad surgi\u00f3 porque la aplicaci\u00f3n env\u00eda datos confidenciales durante su proceso de registro. Los desarrolladores utilizaron Bot API de Telegram para recopilar an\u00e1lisis y enviar archivos de informaci\u00f3n de depuraci\u00f3n de los usuarios a un chat privado del equipo de desarrollo a trav\u00e9s de un bot de Telegram.<\/p>\n

El problema era que estos archivos, adem\u00e1s de la informaci\u00f3n del sistema, conten\u00edan datos personales de los usuarios y, lo que es m\u00e1s grave, tokens de actualizaci\u00f3n necesarios para autorizar el acceso a la cuenta del usuario. Los posibles atacantes podr\u00edan haberse reenviado todos estos archivos usando el mismo bot de Telegram. Para lograrlo, podr\u00edan obtener su token de Telegram y el ID de chat del c\u00f3digo de la aplicaci\u00f3n y luego iterar a trav\u00e9s de los n\u00fameros consecutivos de mensajes que contienen los archivos.<\/p>\n

Recientemente, el registro de eventos a trav\u00e9s de Telegram se ha vuelto cada vez m\u00e1s popular. Recibir notificaciones importantes a trav\u00e9s del servicio de mensajer\u00eda instant\u00e1nea es una opci\u00f3n pr\u00e1ctica y eficiente. Sin embargo, este enfoque requiere precauci\u00f3n: recomendamos no reenviar datos confidenciales en los registros de la aplicaci\u00f3n y, adem\u00e1s, prohibir la copia y el reenv\u00edo de contenido del grupo en la configuraci\u00f3n de Telegram o usar el par\u00e1metro protect_content<\/em> al enviar un mensaje a trav\u00e9s de un bot de Telegram.<\/p>\n

Nota importante: Nos pusimos en contacto con Rubetek inmediatamente despu\u00e9s de descubrir la vulnerabilidad. <\/em>En el momento de esta publicaci\u00f3n, el problema se hab\u00eda solucionado.<\/em><\/p><\/blockquote>\n

Los posibles atacantes podr\u00edan haber obtenido acceso a los datos que todas las aplicaciones del usuario estaban enviando al desarrollador. La lista de estos datos es impresionante:<\/p>\n