Estudio de HP revela que todos los smartwatches son vulnerables

HP ha publicado un estudio sobre la seguridad en los smartwatches o relojes inteligentes según la cual todos los dispositivos analizados se ven afectados por algún problema de seguridad.

HP ha dado a conocer los resultados de una evaluación que confirma que los smartwatches con funcionalidades de red y comunicaciones representan una nueva puerta de ataques. El estudio realizado por HP Fortify encontró que el cien por cien de los relojes evaluados contienen importantes vulnerabilidades, incluyendo autenticación insuficiente, falta de cifrado y problemas de privacidad.
HP ha realizado su estudio sobre 10 relojes inteligentes y sus aplicaciones móviles para iOS y Android, si bien en ningún momento del estudio se mencionan los relojes analizados, un dato que sin duda daría más valor al informe. Se puede pensar que para el estudio al menos se han incluido los relojes más populares, pero dada la diversidad de smartwatches existentes en el mercado, versiones, etc. sería importante conocer los relojes y los problemas que afectan a cada uno. HP considera que la similitud en los resultados de los 10 smartwatches analizados constituye un buen indicador del estado actual en materia de seguridad de los relojes inteligentes.
Lo que sí se especifica claramente es que para las pruebas se ha empleado el “OWASP Internet of Things Top 10” y las vulnerabilidades especificadas asociadas para cada categoría.
Los problemas más sencillos y comunes descritos en el informe incluyen:
Insuficiente autorización o autenticación de usuario. Todos los relojes fueron emparejados con una interfaz móvil que carecía de autenticación de dos factores y la capacidad de bloquear las cuentas después de varios intentos fallidos de contraseña. Tres de cada diez, el 30 por ciento, eran vulnerables a la obtención de la cuenta. Esto es, un atacante podría obtener acceso al dispositivo y los datos a través de una combinación de políticas débiles de contraseñas, falta de bloqueo de cuentas y enumeración de usuario.

Carencia de comunicaciones cifradas. El cifrado de las comunicaciones se considera crítico dado que se está transmitiendo información personal. Todos los relojes evaluados implementaban comunicaciones cifradas mediante SSL/TLS, sin embargo cuatro de ellos eran vulnerables a un ataque POODLE.

Interfaces inseguras: tres de los smartwaches evaluados (30%) utilizaban interfaces web basados en la nube, que además se veían expuestos a problemas de enumeración de cuentas. El mismo porcentaje en lo que se refería a las aplicaciones móviles.

Firmware/software inseguro. Un 70% de los relojes inteligentes probados presentaban problemas en la protección de las actualizaciones del firmware, incluyendo transmisión de actualizaciones de firmware y archivos de actualización sin cifrar. Sin embargo, para evitar la instalación de firmware malicioso muchas actualizaciones estaban firmadas.

Problemas de privacidad. Todos smartwatches recogen algún tipo de información personal, como nombre, dirección, fecha de nacimiento, peso, sexo, frecuencia cardíaca y otros datos sobre la salud del usuario. Dada la posibilidad de enumeración de cuentas y la utilización de contraseñas débiles en algunos productos, la exposición de esta información personal es un motivo de preocupación.
Ver informacion original al rsrecto en Fuente:
http://unaaldia.hispasec.com/2015/07/estudio-de-hp-revela-que-todos-los.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies