Hackean las bombillas LIFX para obtener la contraseña de una red Wi-Fi

La vulnerabilidad consiste en un ataque que permitía que una bombilla LIFX terminara dando la contraseña de la red Wi-Fi a la que estaba conectada. Aunque grave, no es algo que pudiera hacer cualquier de forma sencilla, pero muestra lo importante que es liberara el código para asegurar que la comunidad evite que ocurran estas cosas.

lifx

Las bombillas inteligentes LIFX aparecieron hace un par de años en Kickstarter y permitían poder controlarlas de forma remota desde cualquier parte gracias a que se conectaban a la red Wi-Fi, lo que posibilitaba luego el manejarlas desde una aplicación o página web.

El problema es que, para intentar hacerlas más seguras, en lugar de hacer su código totalmente abierto, se decidieron por ocultar partes claves. La empresa de seguridad Context, decidió que era interesante buscar vulnerabilidades y llevaron a cabo un proceso de ingeniería inversa para acceder a los secretos del firmware.

Desde allí, encontraron su objetivo en la especificación 6LoWPAN, ya que a pesar de usar cifrado AES, absurdamente utilizaba una clave que no cambiaba nunca, lo que permitía descifrar cualquier contraseña Wi-Fi.

Vale, está claro que no todo el mundo puede llegar a hacer esto, pero también que hacer el código opaco no hace más que alentar para buscar fallos de seguridad. Si bien LIFX ya tienen un firmware que resuelve el fallo, posiblmente liberando el código todo habría sido más sencillo.

vINQulos

ArsTechnica