Una vulnerabilidad en un sistema de control de paso inteligente utilizado en miles de viviendas de arriendo en Estados Unidos permite a cualquier persona controlar de forma remota cualquier cerradura de una casa afectada. Pero Chirp Systems, la empresa que fabrica el sistema, ignoró las solicitudes para corregir la defecto.
La agencia estadounidense de ciberseguridad CISA hizo conocido un aviso de seguridad la semana pasada diciendo que las aplicaciones telefónicas desarrolladas por Chirp, que los residentes usan en oportunidad de una presa para entrar a sus hogares, «almacenan incorrectamente» credenciales codificadas que pueden estilarse para controlar remotamente cualquier Chirp- cerradura inteligente compatible.
Las aplicaciones que dependen de contraseñas almacenadas en su código fuente, conocidas como credenciales de codificación, son un peligro para la seguridad porque cualquiera puede extraer y usar esas credenciales para realizar acciones que se hagan acaecer por la aplicación. En este caso, las credenciales permitieron a cualquier persona cerrar o desbloquear de forma remota una cerradura de puerta conectada a Chirp a través de Internet.
En su aviso, CISA dijo que la explotación exitosa de la defecto «podría permitir a un atacante tomar el control y obtener paso físico sin restricciones» a las cerraduras inteligentes conectadas a un sistema doméstico inteligente Chirp. La agencia de ciberseguridad otorgó una puntuación de agravación de la vulnerabilidad de 9,1 sobre un mayor de 10 por su “desprecio complejidad de ataque” y por su capacidad de ser explotada de forma remota.
La agencia de ciberseguridad dijo que Chirp Systems no ha respondido ni a CISA ni al investigador que encontró la vulnerabilidad.
El investigador de seguridad Matt Brown le dijo al curtido periodista de seguridad Brian Krebs que notificó a Chirp sobre el problema de seguridad en marzo de 2021, pero que la vulnerabilidad sigue sin solucionarse.
Chirp Systems es una de un número creciente de empresas en el espacio de tecnología inmobiliaria que brindan controles de paso sin presa que se integran con tecnologías de hogares inteligentes a gigantes del arriendo. Las empresas de arriendo obligan cada vez más a los inquilinos a permitir la instalación de equipos domésticos inteligentes según lo dictan sus contratos de arrendamiento, pero, en el mejor de los casos, no está claro quién asume la responsabilidad o la propiedad cuando surgen problemas de seguridad.
El titán inmobiliario y de arriendo Camden Property Trust firmó un acuerdo en 2020 para implementar cerraduras inteligentes conectadas a Chirp en más de 50.000 unidades en más de cien propiedades. No está claro si las propiedades afectadas como Camden son conscientes de la vulnerabilidad o han tomado medidas. Kim Callahan, portavoz de Camden, no respondió a una solicitud de comentarios.
Chirp fue comprada por el titán del software de oficina de propiedades RealPage en 2020, y RealPage fue adquirida por el titán de renta privado Thoma Excelente más tarde ese año en un acuerdo de $ 10.2 mil millones. RealPage enfrenta varios desafíos legales por acusaciones de que su software de fijación de alquileres utiliza algoritmos secretos y patentados para ayudar a los propietarios a aumentar los alquileres más altos posibles para los inquilinos.
Ni RealPage ni Thoma Excelente aún no han agradecido las vulnerabilidades del software que adquirieron, ni han dicho si planean advertir a los residentes afectados sobre el peligro de seguridad.
Jennifer Bowcock, portavoz de RealPage, no respondió a las solicitudes de comentarios de TechCrunch. Megan Frank, portavoz de Thoma Excelente, siquiera respondió a las solicitudes de comentarios.
————————————————– —————–
Esta página transcribe artículos de diversas fuentes de dominio conocido, las ideas expresadas son responsabilidad de sus respectivos autores por lo cual no nos hacemos responsables del uso o la interpretación que se les dé. La información publicada nunca debe sustituir consultorio profesional, médica, legítimo o psicológica.
