Una empresa de investigación de seguridad afirma haber descubierto un fallo que puede ser "fácilmente" explotado en un sistema de seguridad de acceso a puertas utilizado en edificios gubernamentales y complejos de apartamentos, pero el fallo no puede repararse. La empresa emite una advertencia sobre el fallo.
Según la empresa de seguridad noruega Promon, el fallo está presente en varios modelos del Aiphone GT que utilizan la tecnología NFC, que se encuentra habitualmente en las tarjetas de crédito sin contacto. Este fallo permite a actores maliciosos acceder a instalaciones sensibles forzando el código de seguridad del sistema de entrada de la puerta.
Los sistemas de entrada de puertas proporcionan entradas seguras a edificios y complejos residenciales. Sin embargo, su creciente dependencia de la tecnología digital los hace más susceptibles a formas de manipulación directa e indirecta.
Lea también: Principales tendencias de aprendizaje electrónico en 2022
Clientes de Aiphone bajo amenaza
Según los folletos corporativos, Aiphone nombra tanto a la Casa Blanca como al Parlamento del Reino Unido como clientes de los sistemas comprometidos.
El investigador de seguridad de Promon, Cameron Lowell Palmer, afirmó que un posible intruso podría utilizar un dispositivo móvil con capacidad NFC para recorrer rápidamente todas las combinaciones posibles de un código de "administración" de cuatro dígitos para proteger cada sistema de acceso de puerta Aiphone GT. Palmer hizo esta declaración después de investigar en nombre de Promon. Palmer dijo que solo se necesitan unos minutos para recorrer cada uno de los 10.000 posibles códigos de cuatro dígitos utilizados por el sistema de acceso de puerta. Esto se debe a que el sistema no restringe la cantidad de veces que se puede intentar un código. Este código se puede ingresar en el teclado del sistema o transferir a una etiqueta NFC, lo que permite a los actores maliciosos acceder a regiones restringidas sin necesidad de tocar el dispositivo.
Palmer demostró cómo construyó una aplicación Android de prueba de concepto en un video publicado en TechCrunch. El software le permitió verificar cada código de cuatro dígitos en un sistema de entrada de puerta Aiphone que era susceptible en su laboratorio de pruebas. Palmer dijo que las variantes afectadas del Aiphone no guardan registros, lo que hace posible que los usuarios malintencionados eludan la seguridad del sistema sin dejar un rastro digital.
En la segunda mitad de junio de 2021, Palmer informó a Aiphone sobre la falla de seguridad. Aiphone informó a la empresa de seguridad que los sistemas fabricados antes del 7 de diciembre de 2021 son vulnerables y no se pueden actualizar. Sin embargo, Aiphone le dijo a la empresa de seguridad que los sistemas fabricados después de esta fecha tienen una solución de software que restringe la cantidad de veces que se abre una puerta.
Múltiples fallas en el sistema Aiphone
Promon encontró más de un fallo en el sistema Aiphone, por lo que este es uno de tantos. Promon también dijo que había descubierto que la aplicación que se utilizó para configurar el sistema de entrada de puerta proporciona un archivo en texto simple que no está cifrado e incluye el código de administrador para el portal de back-end del sistema. Promon dice que esto también podría ofrecer a los intrusos acceso a la información necesaria para ingresar a las regiones restringidas.
Las solicitudes de respuesta realizadas antes de que se publicara el artículo no fueron respondidas por el representante de Aiphone, Brad Kemcheff.
CBORD es una empresa tecnológica que ofrece sistemas de control de acceso y pago a hospitales y campus universitarios. A principios de este año, un estudiante universitario que también era investigador de seguridad encontró una vulnerabilidad en un sistema de acceso a puertas muy utilizado y construido por CBORD. La vulnerabilidad se denominó "llave maestra". Después de que el investigador informara del problema a CBORD, la empresa corrigió rápidamente la falla.
Imagen destacada: Tecnología NFC
Suscríbete a Whitepapers.online para conocer las nuevas actualizaciones y los cambios realizados por los gigantes tecnológicos que afectan la salud, el marketing, los negocios y otros campos. Además, si te gusta nuestro contenido, compártelo en plataformas de redes sociales como Facebook, WhatsApp, Twitter y más.