El gobierno de EE. UU. afirma que una falla de seguridad en la aplicación Chirp Systems permite a cualquiera controlar de forma remota las cerraduras inteligentes del hogar
Créditos de imagen: imágenes falsas
Una vulnerabilidad en un sistema de control de acceso inteligente utilizado en miles de viviendas de alquiler en EE. UU. permite a cualquier persona controlar de forma remota cualquier cerradura de una casa afectada. Pero Chirp Systems, la empresa que fabrica el sistema, ignoró las solicitudes para corregir la falla.
La agencia estadounidense de ciberseguridad, CISA, fue público con una advertencia de seguridad la semana pasada diciendo que las aplicaciones telefónicas desarrolladas por Chirp, que los residentes usan en lugar de una llave para acceder a sus hogares, «almacenan incorrectamente» credenciales cifradas que pueden usarse para controlar de forma remota cualquier cerradura inteligente compatible con Chirp.
Las aplicaciones que dependen de contraseñas almacenadas en su código fuente, conocidas como credenciales codificadas, son un riesgo para la seguridad porque cualquiera puede extraer y usar estas credenciales para realizar acciones que se hagan pasar por la aplicación. En este caso, las credenciales permitieron a cualquiera bloquear o desbloquear de forma remota una cerradura conectada a Chirp a través de Internet.
En su aviso, CISA dijo que la explotación exitosa de la falla «podría permitir a un atacante tomar el control y obtener acceso físico sin restricciones» a las cerraduras inteligentes conectadas a un sistema doméstico inteligente Chirp. La agencia de ciberseguridad asignó a la vulnerabilidad una puntuación de gravedad de 9,1 sobre un máximo de 10 por su “baja complejidad de ataque” y su capacidad de explotarse de forma remota.
La agencia de ciberseguridad dijo que Chirp Systems no respondió ni a CISA ni al investigador que encontró la vulnerabilidad.
El investigador de seguridad Matt Brown dijo Brian Krebs, veterano periodista de seguridad que notificó a Chirp sobre el problema de seguridad en marzo de 2021, pero que la vulnerabilidad sigue sin parchearse.
Chirp Systems es parte de un número creciente de empresas en el sector de tecnología inmobiliaria que brindan controles de acceso sin llave que se integran con tecnologías de hogares inteligentes para gigantes del alquiler. Las empresas de alquiler obligan cada vez más a los inquilinos a permitir la instalación de equipos domésticos inteligentes según lo exigen sus contratos de arrendamiento, pero, en el mejor de los casos, no está claro quién asume la responsabilidad o la propiedad cuando surgen problemas de seguridad.
El gigante inmobiliario y de alquiler Camden Property Trust firmó un acuerdo en 2020 para lanzar cerraduras inteligentes conectadas a Chirp para más de 50.000 unidades en más de un centenar de inmuebles. No está claro si las propiedades afectadas como Camden son conscientes de la vulnerabilidad o han tomado medidas. Kim Callahan, portavoz de Camden, no respondió a una solicitud de comentarios.
Chirp fue comprada por el gigante del software de administración de propiedades RealPage en 2020, y RealPage fue adquirida por el gigante de capital privado Thoma Bravo. más tarde ese año en un acuerdo de $ 10.2 mil millones. RealPage se enfrenta varios desafíos legales A pesar de las afirmaciones, su software de fijación de alquileres utiliza algoritmos secretos y patentados para ayudar a los propietarios a aumentar los alquileres más altos posibles para los inquilinos.
Ni RealPage ni Thoma Bravo han reconocido aún las vulnerabilidades del software que compraron, ni han dicho si planean notificar a los residentes afectados sobre el riesgo de seguridad.
Jennifer Bowcock, portavoz de RealPage, no respondió a las solicitudes de comentarios de TechCrunch. Megan Frank, portavoz de Thoma Bravo, tampoco respondió a las solicitudes de comentarios.