La vulnerabilidad consiste en un ataque que permitía que una bombilla LIFX terminara dando la contraseña de la red Wi-Fi a la que estaba conectada. Aunque grave, no es algo que pudiera hacer cualquier de forma sencilla, pero muestra lo importante que es liberara el código para asegurar que la comunidad evite que ocurran estas cosas.
Las bombillas inteligentes LIFX aparecieron hace un par de años en Kickstarter y permitían poder controlarlas de forma remota desde cualquier parte gracias a que se conectaban a la red Wi-Fi, lo que posibilitaba luego el manejarlas desde una aplicación o página web.
El problema es que, para intentar hacerlas más seguras, en lugar de hacer su código totalmente abierto, se decidieron por ocultar partes claves. La empresa de seguridad Context, decidió que era interesante buscar vulnerabilidades y llevaron a cabo un proceso de ingeniería inversa para acceder a los secretos del firmware.
Desde allí, encontraron su objetivo en la especificación 6LoWPAN, ya que a pesar de usar cifrado AES, absurdamente utilizaba una clave que no cambiaba nunca, lo que permitía descifrar cualquier contraseña Wi-Fi.
Vale, está claro que no todo el mundo puede llegar a hacer esto, pero también que hacer el código opaco no hace más que alentar para buscar fallos de seguridad. Si bien LIFX ya tienen un firmware que resuelve el fallo, posiblmente liberando el código todo habría sido más sencillo.
vINQulos
De los 942,1 millones de dólares que ingresó en el tercer trimestre, 900,3 millones corresponden…
“En 2024 se ha registrado un crecimiento exponencial en los ciberataques, con empresas de todo…
Durante su trimestre más reciente acumuló un total de 35.100 millones de dólares.
Durante su ejercicio fiscal 2024 mejoró un 9 % los ingresos totales subyacentes, por encima…
Ha estrenado oficinas en Zaragoza, está presente en el Parque Tecnológico Walqa y tiene previsto…
Ha celebrado la cuarta edición de la cita tecnológica eProcurement Tech Summit.
