1 puntos por GN⁺ 2024-01-15 | 1 comentarios | Compartir por WhatsApp
  • Un usuario de una lavadora inteligente LG bloqueó el equipo del Wi‑Fi después de ver en la interfaz de su router un uso promedio de 3.66 GB de datos por día
  • En una fecha específica se registraron 3.57 GB de subida y alrededor de 100 MB de descarga, y el tráfico parecía producirse casi de forma continua
  • Se mencionaron como posibilidades la descarga de presets de ciclos de lavado, un hackeo y el abuso en botnets o minería de criptomonedas, pero la mayor parte de los datos observados correspondía a subidas
  • Por ahora, la explicación más probable es una visualización imprecisa de la herramienta del router Asus, ya que otros usuarios de lavadoras inteligentes LG normalmente mostraron un uso inferior a 1 MB por día
  • Aunque la causa no sea una intrusión real, si un dispositivo conectado a la red es secuestrado, puede provocar daños graves, como ocurre con IoT médico o industrial

Tráfico excesivo detectado en una lavadora LG

  • Johnie, usuario de una lavadora inteligente LG, compartió en X que su lavadora usaba en promedio 3.66 GB de datos al día
  • Bloqueó ese dispositivo desde la interfaz del router, dejando la lavadora sin conexión
  • El tráfico de una fecha concreta que aparecía en la captura inicial era el siguiente
    • Subida: 3.57 GB
    • Descarga: alrededor de 100 MB
    • Patrón de tráfico: casi continuo
    • Proporción de la lavadora dentro del tráfico total de Internet: casi 5% del día

Que hubiera más subida que descarga

  • El dueño de la lavadora bromeó con que tal vez usaba el Wi‑Fi para “DLCs (Downloadable Laundry Cycles)”
    • En realidad, esta lavadora descarga presets para distintos tipos de ropa
    • Sin embargo, la mayor parte del tráfico observado no era de descarga, sino de subida
  • También se mencionó en tono de broma la posibilidad de abuso para minería de criptomonedas
    • Otro usuario señaló casos anteriores de secuestro de electrodomésticos inteligentes LG
    • La vulnerabilidad HomeHack de los electrodomésticos LG SmartThinQ fue parcheada unas semanas después de hacerse pública
  • Tampoco se puede descartar por completo el escenario en el que la lavadora sea abusada como parte de una botnet masiva para minería de criptomonedas o ataques de red
    • Incluso los dispositivos de bajo consumo pueden tener un gran impacto si se agrupan en grandes cantidades

Posible error de visualización del router Asus

  • La explicación más probable por ahora no es un problema de la lavadora en sí, sino un error en la visualización del uso de datos del router Asus
  • En una publicación posterior, Johnie mencionó la “imprecisión de la herramienta del router ASUS” en relación con el uso de datos de Apple iMessage
  • En las interfaces de router compartidas por otros usuarios de lavadoras inteligentes LG, el uso típico de datos de estos electrodomésticos aparece como inferior a 1 MB por día
  • LG no respondió de inmediato a la solicitud de información adicional de Tom’s Hardware

Riesgos reales de seguridad en dispositivos conectados

  • Aunque este caso se compartió en un tono ligero, el hackeo de dispositivos conectados a la red puede tener consecuencias graves
  • Si un dispositivo médico o un equipo IoT industrial es secuestrado por atacantes, el problema puede ir mucho más allá del simple uso de datos
  • En una llave industrial conectada a la red de Bosch se identificaron múltiples vulnerabilidades
    • Los investigadores consideran que esa llave industrial inalámbrica podría ser objeto de exploits o ataques de ransomware
    • Un atacante podría apagar llaves en masa o ajustar en secreto los valores de torque, haciendo que los objetos ensamblados sean peligrosos para los usuarios
    • El parche estará disponible próximamente

Lo que queda en la práctica

  • El tráfico anómalo de un electrodoméstico inteligente puede deberse tanto a una intrusión real como a un error de medición del router, por lo que es difícil determinar la causa solo con una cifra de una única interfaz
  • Al compararlo con datos de otros usuarios de la misma línea de productos, una subida de varios GB al día difiere mucho del uso típico de una lavadora inteligente LG
  • Sin que se hubiera confirmado la causa, la medida directa que tomó el usuario fue desconectar la lavadora del Wi‑Fi

1 comentarios

 
GN⁺ 2024-01-15
Opiniones en Hacker News
  • Aunque 3.7GB parezca mucho, los electrodomésticos modernos son muy eficientes, así que gran parte de esos bits solo circulan entre la ropa y el router para enfriarse entre ciclos de lavado.
    Parece que la gente no sabe cuántos datos se usan al lavar a mano. Gigabytes enteros se van chapoteando por el desagüe.
    (https://twitter.com/meekaale/status/1744807035454079079)

    • Probablemente solo sea un proxy SOCKS. Crédito a SwiftOnSecurity.
    • Es muy probable que Pi-hole lo esté bloqueando y por eso siga reintentando. Puede que en realidad quiera enviar solo unos KB.
  • Si un dispositivo así está diseñado para subir informes de diagnóstico automáticos a un rastreador central, esta lavadora podría estar atascada en un estado de falla y generando una enorme cantidad de logs de error.

    • Aun así, ¿no da igual? Haya o no otro estado de falla, comerse el ancho de banda de esta manera ya es en sí una falla.
      Y, para empezar, me cuesta creer que una lavadora pueda generar 3.7GB al día de logs de error. Es una cantidad absurda de datos.
  • Uso una lavadora y secadora LG conectadas por Wi-Fi, y conservo 90 días de datos de netflow.
    En total, ambas usaron apenas unos 10MB en los últimos 90 días, todo mediante conexiones al puerto TCP 8883 hacia IPs propiedad de AWS EC2. Normalmente es menos de 100KB al día, con un máximo de 2MB/día y un mínimo de unos 12KB/día.
    Al ver el calendario, coincide con los días en que lavé ropa y los días en reposo. Ese nivel de uso de datos me parece aceptable.

  • En una publicación posterior, Johnie mencionó la inexactitud de las herramientas del router ASUS, y otros usuarios de lavadoras inteligentes LG también mostraron el uso de datos de sus dispositivos en la app.
    En la práctica, parece que estos electrodomésticos normalmente usan menos de 1MB al día.

    • Que el uso de otros usuarios sea bajo no prueba que el de ese dispositivo también lo sea, ¿no?
      No sé si les incomoda tanto decir “no sabemos” que prefieren dar por respondido el tema con una inferencia tan floja. Voy a releer el artículo y los tuits; quizá se me escapó algo.
    • Mi Ubiquiti UniFi UDM identifica bastante mal los dispositivos.
      Muestra una lista larga de dispositivos conectados a la red, mezclada con equipos que sé que no existen, y eso molesta bastante. En realidad preferiría que dijera algo como “Maybe iPad Air”, en vez de afirmar que es un “iPad Pro 2nd Gen” que sé que no está en mi red.
    • Para que conste, esa parte fue reportada de forma inexacta en el artículo de TomsHardware.
      La parte en la que aparecía como si usara iMessage es justamente donde dije que quizá se había reportado mal. Todavía veo un uso de datos sospechoso, así que desde ayer empecé a rastrearlo con Wireshark.
    • Incluso 1MB al día sigue pareciendo excesivo.
  • ¿Por qué todavía nadie mencionó una botnet? Estos dispositivos son blancos perfectos para un clon de Mirai.
    También es la razón por la que todavía no puedo correr un servidor de correo en casa. Ahora estamos en la era del Internet of Shit.

    • En el hilo de Reddit que vi, la mayoría parecía asumir que era una botnet.
      Aun así, no estoy seguro. Para eso, la lavadora tendría que abrir un puerto externo en el router del usuario, y eso parece poco probable. Busqué el manual de una lavadora con la función “ThinQ” y no vi ninguna mención de UPnP.
    • A mí también fue lo primero que se me vino a la cabeza. Si imaginas una flota de lavadoras enviando 3.7GB de datos cada una, es una forma perfecta de hacer DDoS y nadie se daría cuenta.
  • Entiendo el atractivo de los dispositivos de red accesibles desde cualquier lugar, pero todo debería poder tener control local.
    Está bien ofrecer una opción en la nube como extra, pero debería ser local primero. La forma actual de “control desde cualquier lugar” se siente como la solución más floja y más invasiva para la privacidad. Además, si la empresa XYZ cierra el servicio en dos años y abandona el producto, quizá ya no puedas usarlo. Es un desperdicio.

  • Hay más discusión aquí también, y la persona que reportó el problema publicó directamente: https://news.ycombinator.com/item?id=38930507

  • Incluso quienes odian el Wi-Fi en los electrodomésticos todavía pueden comprar una lavadora sin Wi-Fi, bien calificada y a precio razonable.
    Incluso de compañías que ponen Wi-Fi en casi todos sus productos. Por ejemplo, hace poco compré una LG WM3400CW por 650 dólares, y estaba empatada en el tercer lugar del ranking de lavadoras de carga frontal de Consumer Reports. Las LG 3900 y 4000 están empatadas en el primer lugar con 87 puntos totales, y las 3400, 8900 y 3600 están empatadas en el tercer lugar con 85 puntos.
    Hoy casi todos los productos LG tienen Wi-Fi, pero la 3400 no. Consumer Reports decía que sí tenía Wi-Fi, pero probablemente se confundió por el “Smart Diagnosis” de LG. Esta función permite obtener información de diagnóstico mediante la app móvil de LG.
    En los modelos con Wi-Fi, Smart Diagnosis efectivamente usa Wi-Fi; en los modelos sin Wi-Fi, usa sonido. La lavadora emite sonidos como un módem acústico de la era anterior a la banda ancha, y la app móvil los escucha para extraer los datos de diagnóstico.

    • Enviar datos de diagnóstico por sonido en los modelos sin Wi-Fi es bastante genial.
      Ojalá usaran más este tipo de métodos para acercarnos a un futuro tipo R2-D2.
    • ¿No basta con enchufarla y no configurar el Wi-Fi?
  • Es un artículo SEO basura. Hay que escarbar entre una página llena de información y anuncios para llegar a un contenido de un solo párrafo que ni siquiera concluye nada. Google, ¿estás viendo?

  • “El dueño de una lavadora LG y autodenominado fanático fintech preguntó en Twitter por qué su electrodoméstico inteligente consumía en promedio 3.66GB de datos al día”, pero ¿qué pasa con la gente que no sabe de tecnología?
    Si los electrodomésticos, computadoras, teléfonos y dispositivos del hogar tienen este tipo de comportamiento de recolección de datos, ¿cómo pueden darse cuenta y responder? Creo que hace falta un mínimo de conciencia propia para lidiar con el mundo digital, siempre cambiante, en el que vivimos.

    • Justamente lo que menos quieren las empresas que fabrican estas cosas es que los usuarios tengan conciencia.