Resumen

La vulnerabilidad del firmware es un objetivo importante para los ataques de IoT, pero es desafiante, ya que el firmware puede no estar disponible públicamente o estar encriptado con una clave desconocida. Presentamos en este documento un ataque al código de autenticación del Servicio de Mensajes Cortos (SMS, por sus siglas en inglés) que tiene como objetivo obtener el control de dispositivos IoT sin necesidad de analizar el firmware. La idea clave se basa en la observación de que un dispositivo IoT suele tener una aplicación oficial (app, abreviatura de aplicación) utilizada para controlarse a sí mismo. El cliente necesita registrarse antes de usar esta app, generalmente se sugieren números de teléfono como nombre de cuenta, y la mayoría de estas aplicaciones tienen una característica común que utiliza un código de autenticación SMS enviado al teléfono del cliente para autenticarlo cuando olvida su contraseña. Descubrimos que un atacante puede realizar un ataque de fuerza bruta en este código de autenticación SMS de forma automática superando varios desafíos, y luego puede robar la cuenta para obtener el control de los dispositivos IoT

• Materias:Internet de las cosas Dispositivos móviles Ransomware Ingeniería de Telecomunicación Servidores en la nube
• Subjects:Internet of things Mobile devices Ransomware Telecommunication engineering Cloud Servers
• Palabras claves:Vulnerabilidad del firmware; Ataques IoT; Código de autenticación SMS; Dispositivos IoT; Ataque de fuerza bruta; Vulnerabilidades de día cero.
• Keywords:Firmware vulnerability; IoT attacks; SMS authentication code; IoT devices; Brute-force attack; Zero-day vulnerabilities