Búsca en Seguridad y Firewall


Informe: la aplicación Asus Router pierde datos de los clientes y expone a los usuarios de Alexa

Diego Cortes Robles sábado, noviembre 16, 2019Compartir:

El equipo de Investigación de VPNMentor, compartio este interesante articulo con Seguridad y Firewall.

Autor: Equipo de Investigación de VPNMENTOR

Dirigido por Noam Rotem y Ran Locar, el equipo de investigación de vpnMentor descubrió una fuga de datos en AsusWRT, una aplicación basada en la web de Asus que permite a los usuarios administrar su red wifi.

AsusWRT es una aplicación de interfaz gráfica que se combina con un enrutador Asus para crear una red wifi privada en el hogar de un usuario. Esto le otorga al usuario AsusWRT un control completo sobre su red y cualquier dispositivo conectado a ella.

AsusWRT se convierte en un punto de acceso centralizado para todos los dispositivos de Internet en su hogar, incluidos los teléfonos, tabletas o computadoras portátiles conectados a la red. La aplicación también funciona con dispositivos inteligentes y productos de Amazon Alexa.

Esto significa que si la seguridad de su dispositivo se viera comprometida, los usuarios de AsusWRT serían increíblemente vulnerables a los ataques. La fuga que descubrió nuestro equipo hizo exactamente eso. Le dio a los piratas informáticos acceso sin precedentes a la red doméstica de un usuario y la capacidad de secuestrar dispositivos, incluida Amazon Alexa.

Si bien la filtración ahora está cerrada, las consecuencias de que esta información llegue a manos de piratas informáticos criminales podrían ser desastrosas para los usuarios. 

Cronología de descubrimiento y reacción del propietario


Parece que esta violación de datos también fue descubierta por otros investigadores, pero no tenemos información sobre su identidad y cuándo la encontraron. Sin embargo, como no notificaron a Asus de su descubrimiento, la vulnerabilidad permaneció en su lugar.

Como hackers éticos, nuestro equipo presta mucha atención y tiempo para comprender una violación y lo que está en juego. Una vez que establecimos los hechos y los peligros potenciales de esta filtración, notificamos a Asus y le ofrecimos nuestra ayuda.

Trabajamos duro para publicar informes precisos y confiables, para asegurarnos de que todos los que los leen entiendan su seriedad. Algunas compañías afectadas niegan nuestros hallazgos e ignoran nuestra investigación. Por lo tanto, debemos ser minuciosos y asegurarnos de que todo lo que encontremos sea correcto y verdadero.

En este caso, Asus tomó medidas rápidas para cerrar la fuga.


  • Fecha de descubrimiento: 15/09
  • Fecha de contacto con los proveedores: 15/09
  • Fecha de respuesta: 15/09
  • Fecha de Acción: 15/09
  • Ejemplos de entradas en la base de datos

Si bien no se podían ver datos de información de identificación personal (PII) en la base de datos AsusWRT, la filtración aún permitía el acceso a información de usuario altamente confidencial y era una mina de oro para los piratas informáticos.

Los datos de usuario que vimos incluyen:


  • Dirección IP
  • Nombre del usuario 
  • Nombre del dispositivo (iPhone de John Doe)
  • Información de uso, comandos IFTTT
  • Coordenadas de longitud y latitud
  • Ubicación: País y Ciudad
  • Comandos
  • La filtración afectó a los usuarios de AsusWRT en todo el mundo, con datos de usuarios disponibles de todos los continentes.


Al hacer referencias cruzadas de los datos filtrados con información disponible públicamente, los piratas informáticos pueden identificar fácilmente la identidad y la dirección de un usuario. Por ejemplo, usando las coordenadas de longitud y latitud de alguien y la dirección IP, un pirata informático podría identificar la dirección física de los usuarios.

Los otros datos disponibles, como el nombre del dispositivo, por ejemplo. El "iPhone de John Doe" y el nombre de wifi confirman la dirección.

Los piratas informáticos de diversas regiones podrían apuntar a usuarios de AsusWRT en su área local o vender la información en todo el mundo.

Hackear Amazon Alexa

La filtración también contenía registros de acciones de los usuarios a través de dispositivos Amazon Alexa conectados a un enrutador usando AsusWRT.

Estos registros dieron una idea del comportamiento del usuario en los dispositivos Alexa afectados y en cualquier dispositivo inteligente conectado a ellos. Con esta información, los piratas informáticos pueden dirigirse a los usuarios de varias maneras, en línea y sin conexión.

Impacto de violación de datos

Al piratear la interfaz AsusWRT, los atacantes y los delincuentes podrían secuestrar cualquier dispositivo vinculado Alexa o dispositivo inteligente conectado al enrutador. También podrían acceder a cualquier dispositivo desprotegido dentro de la red del enrutador.


Toma de control del dispositivo

Al hackear cualquier dispositivo vinculado de Alexa, los hackers podrían ordenar ciertas acciones a través de la base de datos. Cualquier aplicación que use comandos de Alexa (correo electrónico, aplicaciones financieras, dispositivos inteligentes, etc.) se vuelve vulnerable.

Cualquier acción o acceso que estas aplicaciones brinden a los usuarios puede ser secuestrada por los atacantes para su beneficio.

Por ejemplo, si un usuario de AsusWRT accede a una aplicación de cuenta bancaria utilizando los comandos de voz de Alexa, esta filtración expone las credenciales de inicio de sesión para sus cuentas financieras.

Robo

Los hackers pueden usar dispositivos secuestrados para rastrear el comportamiento del usuario mientras están en casa, hacer ejercicio cuando una residencia está desocupada y planear robos con un riesgo mínimo para los ladrones.

Si el usuario objetivo de AsusWRT tiene dispositivos de bloqueo inteligente, los hackers pueden acceder a ellos para abrir puertas a través de los dispositivos AsusWRT y Alexa comprometidos. 

Diversas formas de fraude

Esta fuga les da a los piratas informáticos acceso a una red completa de dispositivos conectados a un enrutador utilizando AsusWRT.

Con este acceso, los piratas informáticos y los delincuentes pueden incrustar muchos ataques en estos dispositivos: malware, ransomware, spyware, virus, etc. Pueden comprometer las direcciones de correo electrónico y las cuentas personales de los usuarios, extrayendo datos confidenciales adicionales de PII.

Los hackers pueden usar toda esta información y acceso ilícito a otros usuarios objetivo para explotación, fraude financiero y extorsión.   

Consejos de los expertos

Asus podría haber evitado fácilmente esta fuga si hubieran tomado algunas medidas de seguridad básicas para proteger la base de datos AsusWRT. Cualquier empresa puede replicar los siguientes pasos, sin importar su tamaño:

Asegure sus servidores.
Implementar reglas de acceso adecuadas.
Nunca deje un sistema que no requiera autenticación abierta a Internet.
Para obtener una guía más detallada sobre cómo proteger su negocio, consulte cómo proteger su sitio web y su base de datos en línea de los piratas informáticos.

Para usuarios de AsusWRT

Si le preocupa que se haya visto comprometido en esta fuga, comuníquese directamente con Asus para averiguar qué pasos están tomando para minimizar los peligros potenciales.

Mientras tanto, desinstale AsusWRT y desconecte cualquier dispositivo de su red doméstica. Puede volver a conectarlos una vez que se haya eliminado AsusWRT. Cuando Asus lanza un parche que cambia gran parte de la información expuesta y aumenta la seguridad de la aplicación, puede reinstalar AsusWRT de forma segura.

Si le preocupan las vulnerabilidades de datos en general, lea nuestra guía completa de privacidad en línea. Le muestra las muchas formas en que puede ser objetivo de los ciberdelincuentes y los pasos que puede seguir para mantenerse a salvo.

Cómo y por qué descubrimos la violación

El equipo de investigación de vpnMentor descubrió la brecha en la base de datos de Asus como parte de un gran proyecto de mapeo web. Nuestros hackers usan el escaneo de puertos para examinar bloques de IP particulares y probar agujeros abiertos en los sistemas en busca de debilidades. Examinan cada agujero en busca de datos filtrados.

Cuando encuentran una violación de datos, utilizan técnicas expertas para verificar la identidad de la base de datos. Luego alertamos a la empresa sobre la violación. Si es posible, también alertaremos a los afectados por el incumplimiento.

Nuestro equipo pudo acceder a esta base de datos porque estaba completamente insegura y sin cifrar.

La compañía utiliza una base de datos Elasticsearch, que normalmente no está diseñada para el uso de URL. Sin embargo, pudimos acceder a través de un navegador y manipular los criterios de búsqueda de URL para exponer esquemas de un solo índice en cualquier momento.

El propósito de este proyecto de mapeo web es ayudar a que Internet sea más seguro para todos los usuarios.

Como piratas informáticos éticos,estamos obligados a informar a una empresa cuando descubramos fallas en su seguridad en línea. Esto es especialmente cierto cuando la violación de datos contiene información confidencial o permite a los piratas informáticos un acceso de alto nivel a los dispositivos domésticos de un usuario de la red.

Sin embargo, esta ética también significa que tenemos una responsabilidad con el público. Los usuarios de AsusWRT deben ser conscientes de una violación de datos que también les afecta.

https://www.vpnmentor.com/blog/report-asus-alexa-leak/
Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!

Ayudanos a crecer!