Una vulnerabilidad en un sistema de control de acceso inteligente utilizado en miles de viviendas de alquiler en Estados Unidos permite a cualquier persona controlar de forma remota cualquier cerradura de una casa afectada. Pero Chirp Systems, la empresa que fabrica el sistema, ignoró las solicitudes para corregir la falla.
La agencia estadounidense de ciberseguridad CISA hizo público un aviso de seguridad la semana pasada diciendo que las aplicaciones telefónicas desarrolladas por Chirp, que los residentes usan en lugar de una llave para acceder a sus hogares, “almacenan incorrectamente” credenciales codificadas que pueden usarse para controlar remotamente cualquier Chirp- cerradura inteligente compatible.
Las aplicaciones que dependen de contraseñas almacenadas en su código fuente, conocidas como credenciales de codificación, son un riesgo para la seguridad porque cualquiera puede extraer y usar esas credenciales para realizar acciones que se hagan pasar por la aplicación. En este caso, las credenciales permitieron a cualquier persona bloquear o desbloquear de forma remota una cerradura de puerta conectada a Chirp a través de Internet.
En su aviso, CISA dijo que la explotación exitosa de la falla “podría permitir a un atacante tomar el control y obtener acceso físico sin restricciones” a las cerraduras inteligentes conectadas a un sistema doméstico inteligente Chirp. La agencia de ciberseguridad otorgó una puntuación de gravedad de la vulnerabilidad de 9,1 sobre un máximo de 10 por su “baja complejidad de ataque” y por su capacidad de ser explotada de forma remota.
La agencia de ciberseguridad dijo que Chirp Systems no ha respondido ni a CISA ni al investigador que encontró la vulnerabilidad.
El investigador de seguridad Matt Brown le dijo al veterano periodista de seguridad Brian Krebs que notificó a Chirp sobre el problema de seguridad en marzo de 2021, pero que la vulnerabilidad sigue sin solucionarse.
Chirp Systems es una de un número creciente de empresas en el espacio de tecnología inmobiliaria que brindan controles de acceso sin llave que se integran con tecnologías de hogares inteligentes a gigantes del alquiler. Las empresas de alquiler obligan cada vez más a los inquilinos a permitir la instalación de equipos domésticos inteligentes según lo dictan sus contratos de arrendamiento, pero, en el mejor de los casos, no está claro quién asume la responsabilidad o la propiedad cuando surgen problemas de seguridad.
El gigante inmobiliario y de alquiler Camden Property Trust firmó un acuerdo en 2020 para implementar cerraduras inteligentes conectadas a Chirp en más de 50.000 unidades en más de cien propiedades. No está claro si las propiedades afectadas como Camden son conscientes de la vulnerabilidad o han tomado medidas. Kim Callahan, portavoz de Camden, no respondió a una solicitud de comentarios.
Chirp fue comprada por el gigante del software de administración de propiedades RealPage en 2020, y RealPage fue adquirida por el gigante de capital privado Thoma Bravo más tarde ese año en un acuerdo de $ 10.2 mil millones. RealPage enfrenta varios desafíos legales por acusaciones de que su software de fijación de alquileres utiliza algoritmos secretos y patentados para ayudar a los propietarios a aumentar los alquileres más altos posibles para los inquilinos.
Ni RealPage ni Thoma Bravo aún no han reconocido las vulnerabilidades del software que adquirieron, ni han dicho si planean notificar a los residentes afectados sobre el riesgo de seguridad.
Jennifer Bowcock, portavoz de RealPage, no respondió a las solicitudes de comentarios de TechCrunch. Megan Frank, portavoz de Thoma Bravo, tampoco respondió a las solicitudes de comentarios.