Análisis de amenazas

Probamos la seguridad de las mejores aplicaciones de cámaras IP, y esto es lo que encontramos

Grace Roberts, 24 septiembre 2020

De las 10 aplicaciones que pusimos a prueba, las aplicaciones que acompañan a las cámaras inteligentes Blink y Wyze demostraron proporcionar las mejores medidas de seguridad para la cuenta.

Recientemente, nuestro equipo de investigación examinó la seguridad de la cuenta de las aplicaciones complementarias que pertenecen a diez cámaras IP. Cada una de estas cámaras se ha incluido en las categorías de "nuevos lanzamientos" y "best seller" de Amazon. 

El investigador de Avast IoT, Marko Zbirka, analizó si las aplicaciones que acompañan a las cámaras inteligentes incluyen una opción de autenticación de dos factores, envían al propietario una notificación de que alguien ha intentado iniciar sesión o ha iniciado sesión con éxito desde un nuevo dispositivo, especialmente si los intentos de inicio de sesión provinieron de un dispositivo que parecía estar en el lado opuesto del mundo, y si la longitud de las contraseñas de las cuentas estaba restringida.  

Las 10 cámaras IP diferentes, todas con funcionalidad en la nube, son las siguientes:

  • Blink
  • Wyze
  • YI IOT
  • YI Home
  • Wansview Cloud
  • MIPC
  • Jawa
  • CloudEdge
  • Amcrest Cloud
  • iCSee

Las aplicaciones que acompañan a estas cámaras se han descargado 50.000 veces o más, y cuatro de las diez se han descargado más de un millón de veces. 

Comprobación de la seguridad de la cuenta

El investigador de nuestro equipo descargó las aplicaciones utilizadas para conectar y controlar las cámaras y creó cuentas para ellas. Después de iniciar sesión correctamente, buscó una opción para cambiar la contraseña de las cuentas y configurar la autenticación de dos factores para las cuentas. Luego usó un segundo teléfono con una aplicación VPN para conectarse a un servidor en el extranjero, de modo que la comunicación del segundo dispositivo pasara por ese servidor y, por lo tanto, todo lo que se envía desde el dispositivo parece provenir de un dispositivo ubicado en el extranjero. 

“Intenté ingresar intencionalmente en mi propia cuenta usando contraseñas incorrectas más de 10 veces para ver si las aplicaciones detectaban algún tipo de intento de fuerza bruta. Después de eso, utilicé las credenciales de inicio de sesión correctas para iniciar sesión y ver si recibí una notificación sobre un nuevo inicio de sesión desde un dispositivo y ubicación diferentes ”, dijo Marko Zbirka, investigador de IoT en Avast. “Después de esto, verifiqué si el tráfico entre la aplicación y el servidor del fabricante estaba encriptado. De las diez aplicaciones que miré, solo dos tenían lo que yo consideraría un nivel aceptable de medidas de seguridad de la cuenta".

Las dos aplicaciones que proporcionaron la mejor seguridad de cuenta básica de las diez, según Zbirka, fueron Blink y Wyze. La aplicación Blink requiere que los usuarios ingresen una contraseña de un solo uso para agregar un nuevo dispositivo, una contraseña de un solo uso para cambiar la contraseña de la cuenta y notifica a los usuarios en caso de intentos de fuerza bruta o cuando se realiza un inicio de sesión con un dispositivo nuevo. 

Wyze ofrece autenticación de dos factores, aunque no se establece de forma predeterminada. La aplicación ofrece a los usuarios la opción de que el código de autenticación se envíe a través de un mensaje de texto o una aplicación de autenticación, lo que elimina el riesgo de que alguien obtenga acceso si la cuenta de correo electrónico vinculada a la cuenta se ve comprometida. Wyze también notifica al usuario, no al usuario de la cuenta, sino al usuario que intenta iniciar sesión , si se realizaron demasiados intentos de inicio de sesión.

"Esperaba que todas las aplicaciones tuvieran algún tipo de autenticación de dos factores preferiblemente a través de una aplicación de autenticación, sin un máximo establecido para la longitud de la contraseña ( algunas de las aplicaciones restringían la longitud de la contraseña a 16 caracteres ) y notificaciones que avisaran al usuario los inicios de sesión dispositivos nuevos o de ubicaciones desconocidas ”, dice Zbirka. 

Según Zbirka, la aplicación MIPC proporcionó la seguridad de cuenta menos favorable, ya que no brinda protección ni notificaciones de fuerza bruta. El procedimiento de restablecimiento de contraseña se transmite a través de HTTP, lo que significa que no está encriptado.

Cosas que debes considerar al elegir una cámara IP

Al considerar comprar una cámara IP conectada a la nube para usar en el hogar o en la oficina, Zbirka señala que es importante no solo observar la frecuencia con la que el dispositivo recibe actualizaciones de software, sino también prestar atención al nivel de seguridad de la cuenta de la aplicación que lo acompaña. proporciona. Idealmente, una aplicación debería hacer uso de las siguientes medidas de seguridad:

  • Ofrezca autenticación de dos factores, preferiblemente a través de una aplicación de autenticación

  • No establezca un máximo para la longitud de la contraseña (algunas de las aplicaciones restringieron la longitud de la contraseña a 16 o 32 caracteres)

  • Envíe notificaciones automáticas para informar a los usuarios sobre inicios de sesión desde nuevos dispositivos o desde nuevas ubicaciones 

 


Consulta el análisis completo de la investigación de nuestro equipo sobre Avast Decoded .