Continuamos repasando algunas de las charlas más relevantes en lo que a tecnologías móviles refiere, presentadas en el marco de la pasada edición de Virus Bulletin. Anteriormente atestiguamos increíbles resultados relacionados al malware sinérgico y descubrimos las consecuencias que pueden acarrear canales zombis de C&C. Ahora ha llegado el turno para la Internet de las Cosas o IoT.
Muchas veces basta con comprender cómo funciona la aplicación móvil que interactúa con los dispositivos
A medida que las cosas que cotidianamente usamos comienzan a “adquirir inteligencia”, nuevas aplicaciones móviles son desarrolladas para controlarlas. Es el caso de smartwatches, sistemas domésticos de alarma, cepillos de dientes con capacidad de conectarse vía Bluetooth con el celular para mantener estadísticas de si has cepillado bien tus dientes y de manera regular, o pelotas de baloncesto que te permiten conocer qué tan bien aciertas.
Esta creciente variedad de firmware que maneja información cada vez más personal crea grandes desafíos para los analistas de seguridad, que deben realizar ingeniería reversa del código para dar con las fallas de seguridad antes de que sean explotadas. Axelle Apvrille, investigadora de Fortinet, analizó durante su presentación Mobile Applications: a backdoor into Internet of Things? posibles alternativas que los pentesters de la Internet de las Cosas tienen para hallar huecos de seguridad.
Durante su presentación, Axelle logró demostrar que muchas veces no es necesario comprender cómo funciona el firmware de los dispositivos sino la aplicación móvil que con ellos interactúa. Para ello tomó varios de los objetos antes mencionados (el cepillo de dientes, el smartwatch y un sistema de alarma) y a través de ingeniería reversa en la aplicación que lo controlaba, logró identificar las características físicas más significativas del equipo y generar exploits que las modificasen según su voluntad.
Por ejemplo, en el caso del cepillo, el análisis de las aplicaciones disponibles para iOS y Android reveló la presencia de un giroscopio, un acelerómetro y firmware de actualización. Mediante un rápido estudio de la comunicación entre la app y el dispositivo fue posible generar un script que agotase en pocos minutos la batería del equipo, aumentando la velocidad del motor.
De manera similar, la oradora recurrió a la documentación disponible en línea para el reloj inteligente Smart Watch 2 de Sony, denominado SW2. Tras leer estos textos comprendió que el reloj no es más que una pantalla, mientras que el verdadero procesamiento lo realizan un par de aplicaciones instaladas en el teléfono celular. Tras hacer la ingeniería reversa de estas apps, la investigadora logró, por ejemplo, forzar el reinicio y la actualización del firmware del equipo.
Estos ejemplos prueban que el desarrollo seguro es aún un tema pendiente. Este escenario se complica a medida que las cosas ganan conectividad, haciendo que un artefacto inofensivo pueda transformarse repentinamente en un vector de propagación de malware a través de las redes. Entonces, una de las lecciones aprendidas más importantes que podemos extraer de esta conferencia es que, sin importar qué tan irrelevante pueda parecer un dispositivo, siempre es necesario comenzar su desarrollo desde una perspectiva de seguridad.