Según un estudio publicado por investigadores de la Universidad de Princeton del que se ha hecho eco HelpNetSecurity, aunque muchos dispositivos del IoT para hogares inteligentes cifran su tráfico, cualquier "observador pasivo de la red" (como podría ser un proveedor de Internet) puede detectar el comportamiento de los usuarios y otros detalles analizando los metadatos de su tasa de tráfico.
Para demostrarlo, los investigadores han recreado en un laboratorio un hogar independiente con un TAP pasivo, y han examinado las tasas de tráfico de cuatro dispositivos IoT para smart homes: un monitor del sueño Sense, una cámara de seguridad Nest Cam Indoor, un enchufe inteligente WeMo y un altavoz Amazon Echo.
Según estas pruebas, se dieron cuenta de que separar el tráfico de red en flujos de paquetes y asociarlo con un dispositivo IoT no es tan difícil. En el documento podemos leer lo siguiente:
Una vez que un adversario identifica flujos de paquetes para un dispositivo particular, uno o más de los flujos codifiquen el estado del dispositivo. Trazar las tasas de envío y recepción de los flujos (bytes por segundo) revelaba interacciones de usuarios potencialmente privadas para cada dispositivo que probamos.
Esto significa que cualquier actor externo al hogar podría extraer datos sensibles de los usuarios, como por ejemplo patrones de sueño, las horas a las que están en casa e incluso usar el asistene personal Alexa del altavoz de Amazon.
¿Qué se puede hacer para aumentar la privacidad?
cuada para los hogares inteligentes. Su análisis lo deja claro, ya que no se apoyaba en una inspección a fondo de los paquetes, sino en tasas de envío y recepción de tráfico cifrado:
Una solución sistemática para preservar la privacidad del usuario requeriría obstruir o configurar todo el tráfico doméstico inteligente para enmascarar las variaciones que codifican el comportamiento del mundo real.
Además, añadieron que una solución como esta no debería tener un impacto negativo en el rendimiento del dispositivo. También tendría que respetar las limitaciones d elos datos, y no debería requerir la modificación del software propietario de los aparatos.
Junto a estas conclusiones, ofrecen cuatro estrategias para fabricantes y terceros implicados en el desarrollo de los aparatos que se pueden implementar con el fin de proteger la privacidad de los consumidores:
- Bloquear las conexiones salientes para evitar que cualquier observador pueda ver los flujos de datos de los dispositvios.
- Cifrar las peticiones DNS para evitar que un observador identifique los dispositivos.
- Pasar todo el tráfico del hogar inteligente a través de una VPN, de forma que no se pueda relacionar el tráfico originado desde un smart home a dispositivos individuales.
- Formar o inyectar tráfico para limitar la confianza de un observador al identificar dispositivos o inferir comportamientos, ya sea enmascarando patrones de tráfico interesantes o dispositivos de suplantación que no están en la red.
Los investigadores están altanto de que cada una de las soluciones que proponen no es la ideal. Por ejemplo, la funcionalidad de los dispositivos que probaron se ve afectada cuando se los pasa a través de un firewall, o cuando se evita que se conecten con otros dispositivos más allá de su red local. A modo de conclusión, los autores del estudio dicen que quienes redactan las políticas también deberían incluir protecciones para los consumidores.
Vía | HelpNetSecurity
Más información | A Smart Home is No Castle: Privacy Vulnerabilities of Encrypted IoT Traffic
En Xataka | La gran inseguridad del Internet de las cosas, la culpable del ataque DDoS que noqueó la web
Ver 1 comentarios