Hasta no hace mucho tiempo, hablar de seguridad en la red o ciberataques era algo que asociábamos a posibles interferencias o amenazas hacia nuestro ordenador. Un paradigma que ha cambiado con el paso del tiempo y con la presencia cada vez mayor de electrodomésticos y dispositivos conectados en casa.
Y en este sentido, ha surgido la noticia que afecta al gigante sueco IKEA, que ha visto como algunos de sus modelos de luces LED se han visto afectadas por una vulnerabilidad que le puede permitir a un atacante, el que tome el control de las bombillas y las active o desactive a su antojo.
Parpadean, se apagan y se encienden
Una tarea llevada cabo por los investigadores Kari Hulkko y Tuomo Untinen, bajo la supervisión de Jonathan Knudsen, jefe de investigación global, del Centro de Investigación de Ciberseguridad de la empresa Synopsys. Y como conclusión, han sacado a a la luz la presencia de una amenaza en algunas de las luminarias conectadas que comercializa IKEA.
En este caso, se trata de un agujero de seguridad que puede hacer que otra persona ajena a casa tome el control de las luces y las pueda apagar y encender a su antojo.
Estas luces se sirven del protocolo Zigbee para conectarse entre sí y para comunicarse con la red de casa. Los modelos afectados son los de la gama TRÅDFRI y la puerta de enlace a través de Zigbee Light Link
Un atacante podría usar esta vulnerabilidad, catalogada como CVE-2022-39064, enviando un comando usando el protocolo Zigbee y hacer que la luz parpadee. Reenviar el comando y provocar este fallo varias veces, hace que la bombilla se restablezca de fábrica y que por tanto pierda todos los valores que hemos configurado. En palabras de los descubridores:
"Después de este ataque, todas las luces están encendidas con todo su brillo y un usuario no puede controlar las bombillas ni con la aplicación Ikea Home Smart ni con el control remoto Tradfri".
Además, una segunda brecha de seguridad, CVE-2022-39065, afecta al hub que sirve para servir de enlace con las bombillas TRÅDFRI. Un problema de seguridad que funciona al igual que las bombillas, enviando un comando defectuoso que hace que la puerta de enlace no responda y por lo tanto, que no se puedan controlar las luces conectadas y otros dispositivos a través de la aplicación IKEA Home Smart.
Al parecer, esta amenaza sólo puede afectar al funcionamiento de las luces, pero no deja al descubierto los datos de los clientes. En este sentido, la empresa recibió la comunicación de este fallo de mano de Synopsys en junio de 2021 y en febrero lanzaron un parche para corregir el fallo en la puerta de enlace mientras que en junio lanzaron una solución parcial para la bombilla y no hay datos sobre cuando podrán lanzar el parche definitivo.
Para aquellos que puedan verse afectados, la única solución pasa por añadir las bombillas de forma manual a la red, si bien esto no impide que en otro momento puedan volver a ver si atacadas. En el caso de la puerta de enlace, se puede recuperar reiniciando el dispositivo, pero como en el caso anterior, puede volver a ser víctima de otro ataque. Y de paso, desde IKEA recomiendan algo ya habitual, como es que los usuarios de los modelos afectados que los tengan actualizados.
Vía | The Register
Más información | Synopsys
