La vulnerabilidad consiste en un ataque que permitía que una bombilla LIFX terminara dando la contraseña de la red Wi-Fi a la que estaba conectada. Aunque grave, no es algo que pudiera hacer cualquier de forma sencilla, pero muestra lo importante que es liberara el código para asegurar que la comunidad evite que ocurran estas cosas.
Las bombillas inteligentes LIFX aparecieron hace un par de años en Kickstarter y permitían poder controlarlas de forma remota desde cualquier parte gracias a que se conectaban a la red Wi-Fi, lo que posibilitaba luego el manejarlas desde una aplicación o página web.
El problema es que, para intentar hacerlas más seguras, en lugar de hacer su código totalmente abierto, se decidieron por ocultar partes claves. La empresa de seguridad Context, decidió que era interesante buscar vulnerabilidades y llevaron a cabo un proceso de ingeniería inversa para acceder a los secretos del firmware.
Desde allí, encontraron su objetivo en la especificación 6LoWPAN, ya que a pesar de usar cifrado AES, absurdamente utilizaba una clave que no cambiaba nunca, lo que permitía descifrar cualquier contraseña Wi-Fi.
Vale, está claro que no todo el mundo puede llegar a hacer esto, pero también que hacer el código opaco no hace más que alentar para buscar fallos de seguridad. Si bien LIFX ya tienen un firmware que resuelve el fallo, posiblmente liberando el código todo habría sido más sencillo.
vINQulos
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…
Durante 2023 su equipo de respuesta ante incidentes atendió un 24 % más de casos…
Extreme Labs ya ha dado su primer fruto: Extreme AI Expert, una solución que se…
Anuncia la adquisición de esta compañía por 6.400 millones de dólares coincidiendo con la publicación…
Sus ingresos han crecido un 27 % para acercarse a los 36.500 millones de dólares…
Durante el primer trimestre de 2024 acumuló 1.500 millones de euros, de los que 1.350…
