Los atacantes podrían abrir puertas en edificios de oficinas, fábricas y otros edificios corporativos, a voluntad, gracias a un fallo en un popular controlador de puertas, descubierto por un investigador de seguridad de Google.
David Tomaschik, que trabaja como ingeniero de seguridad senior y líder tecnológico en Google, descubrió el defecto de los dispositivos fabricados por Software House, una empresa de Johnson Controls. Forbes informa que realizó su investigación sobre el propio sistema de control de puertas de Google.
Tomaschik, quien describió su proyecto en una charla en agosto en el IoT Village de DEF CON, exploró dos dispositivos. El primero fue iStar Ultra, un controlador de puertas basado en Linux que soporta cerraduras cableadas e inalámbricas. El segundo fue el IP-ACM Ethernet Door Module, un controlador de puerta que se comunica con iStar.
Cuando un usuario presenta una tarjeta RFID, el controlador de puerta envía la información al dispositivo iStar, que comprueba si el usuario está autorizado. A continuación, devuelve una instrucción al controlador de puerta, indicándole que desbloquee la puerta o que deniegue el acceso.
El sitio web de la Fábrica de Software sigue promocionando la versión original de su IP-ACM como una «opción altamente segura para gestionar su seguridad». Pero a juzgar por la investigación de Tomaschik, eso está un poco lejos de la realidad.