A medida que más y más dispositivos y aparatos tienen acceso a Internet, también se vuelven vulnerable a una posible explotación. Las personas que se toman en serio la parrillada ahora enfrentan el riesgo de arruinar su comida, no porque eligieron el corte de carne equivocado o porque no prestaron suficiente atención a mantener la temperatura perfecta, sino porque su parrilla fue pirateada.
Nick Cerne de Bishop Fox ha descubierto varias vulnerabilidades en ciertos tipos de parrillas Traeger, una marca ampliamente reconocida para asar y ahumar. Los modelos afectados cuentan con el controlador Wi-Fi Traeger Grill D2, un dispositivo integrado que le permite controlar la parrilla a través de una aplicación móvil. Estas vulnerabilidades podrían permitir a un atacante remoto emitir comandos a la parrilla, como obtener información sobre la parrilla, incluido su número de serie, o apagarla por completo.
Dejando de lado la pregunta de por qué una barbacoa necesita una aplicación móvil, este tipo de interferencia no es algo que la mayoría de la gente espera cuando hace una barbacoa. Tomemos la primera vulnerabilidad, con una puntuación de gravedad de 7,1 (alta), que es un problema de verificación de autorización insuficiente en la API responsable del registro de barbacoa. El equipo de investigación de Bishop Fox pudo apagar de forma remota la barbacoa (que pertenece a un empleado que no forma parte del equipo de investigación) y también aumentar la temperatura. En este caso, los investigadores cambiaron la temperatura de 165 grados Fahrenheit a 500 grados Fahrenheit.
«En lugar de fumarlo y convertirlo en una comida deliciosa, el tofu se redujo a una corteza crujiente ennegrecida y no comestible», escribió el equipo del obispo Fox en una nota de investigación. “La falta de controles de permisos podría usarse para molestar a los propietarios de parrillas Traeger al establecer la temperatura a un máximo de 500 grados Fahrenheit durante el resto del ciclo de cocción, arruinando así los alimentos que se estaban cocinando sin supervisión. »
Los investigadores pudieron despertar la parrilla del modo de suspensión, cambiar la temperatura y apagarla, pero no pudieron identificar una forma de encenderla de forma remota. Pero los resultados de esta investigación resaltan un elemento crítico para garantizar la seguridad del Internet de las cosas: la capacidad de resolver el problema.
En este caso, Traeger dispone de actualizaciones automáticas de firmware para sus parrillas. Esto significa que todas las parrillas Traeger afectadas por la vulnerabilidad de los controles de autorización insuficiente y conectadas a Internet ya han sido actualizadas, sin necesidad de intervención por parte del propietario de la parrilla. El desafío con el Internet de las cosas siempre ha sido qué hacer cuando se descubren vulnerabilidades: los usuarios no descargarán actualizaciones y luego descubrirán cómo cargarlas en dispositivos como refrigeradores, cámaras y, en este caso, parrillas. El hecho de que Traeger maneje la tarea de una manera que los propietarios de parrillas no tienen que hacerlo es clave. Cada vez más fabricantes deben desarrollar mecanismos de actualización para conseguirlo. seguro de usar para los usuarios Muchos de estos sistemas están habilitados para Internet.
Sin embargo, cabe señalar que cualquier atacante potencial necesitaría primero el identificador único de 48 bits de la parrilla objetivo. Esto limita la cantidad de atacantes a solo uno que esté al alcance, lo suficientemente cerca como para capturar el tráfico de la red mientras la parrilla está asociada con la aplicación, o lo suficientemente cerca como para escanear el código QR en una etiqueta ubicada en la parrilla. Esto resalta el segundo punto sobre posibles ataques contra el Internet de las cosas: estar atento a lo que sucede en sus dispositivos, proteger la red contra invitados y mantener el control físico de los dispositivos ayuda a frustrar los intentos de explotación.
“Bishop Fox también recomienda usar el interruptor de encendido físico para apagar las parrillas cuando no estén en uso. » Este parece un buen consejo para todos.
