MADRID, 31 (Portaltic/EP)
Varios modelos de bombillas inteligentes conectadas a Internet por WiFi, desarrolladas por Xiaomi y otros dos fabricantes distintos, exponen la clave de las redes domésticas una vez se desechan, debido a la presencia de varias vulnerabilidades.
El blog de ciberseguridad Limited Results ha denunciado la escasa protección que ofrecen estos dispositivos, y ha replicado vulnerabilidades que exponen la contraseña de la red WiFi en bombillas de Xiaomi y también de las marcas estadounidenses Tuya y LIFX.
Las bombillas inteligentes son dispositivos pertenecientes al ecosistema del Internet de las Cosas, con la posibilidad de controlarlas a través de aplicaciones de dispositivos móviles o de asistentes inteligentes como Amazon Alexa o Google Assistant, mediante su conexión a la red WiFi.
Al tirarlas, según Limited Solutions, el 'hardware' y el 'firmware' -es decir, el 'software' instalado de fábrica por el fabricante- que incorporan sigue conteniendo la contraseña de la red doméstica del usuario. En ocasiones, esta información está incluso almacenada en texto natural, sin ningún encriptado.
Es el caso del modelo de bombilla inteligente Yeelight de Xiaomi, que se vende actualmente por un precio de 24 euros. Además, el 'firmware' del dispositivo consta de otra vulnerabilidad con la que, mediante el uso de la interfaz de arquitectura de acceso de puertos JTAG, permite a un atacante hacerse con su control.
Lo mismo sucede con LIFX Mini White, una bombilla inteligente de la estadounidense LIFX, en la que a través de un proceso de desmontado resultó posible reproducir dos vulnerabilidades según las cuales la contraseña de la red WiFi se almacena en texto natural y también pueden obtener la ID del dispositivo y su clave local.
Limited Solutions ha denunciado que este tipo de dispositivos se encuentra "completamente abierto", y ha detectado problemas similares con los modelos de bombillas LYASI, fabricado por Tuya, y el dispositivo similar Fcmila. Las compañías ya han sido informadas de los problemas, según el autor, y en el caso de Xiaomi habría reconocido la vulnerabilidad.