Vulnerabilidades en Altavoces Sonos Podrían Permitir Espionaje Remoto
Investigadores de ciberseguridad descubrieron debilidades en altavoces inteligentes Sonos que podrían explotarse para espiar a los usuarios. Las vulnerabilidades afectaron a una amplia gama de dispositivos, incluyendo versiones anteriores a Sonos S2 15.9 y Sonos S1 11.12, enviadas en octubre y noviembre de 2023.
Las vulnerabilidades se presentaron en Black Hat USA 2024. Las descripciones de las dos fallas de seguridad son –
CVE-2023-50809: Una vulnerabilidad en la pila Wi-Fi del Sonos One Gen 2 que conduce a la ejecución remota de código.
CVE-2023-50810: Una vulnerabilidad en el componente U-Boot del firmware Sonos Era-100 que permitiría la ejecución arbitraria persistente de código con privilegios del kernel de Linux.
La explotación exitosa de estas fallas podría permitir que un atacante remoto capture audio encubierto de dispositivos Sonos mediante un ataque aéreo.
NCC Group, que invirtió el proceso de arranque para lograr la ejecución remota de código en Sonos Era-100 y los dispositivos Sonos One, identificó las vulnerabilidades y destacó la importancia de las medidas de seguridad adecuadas.
La divulgación se produce cuando la empresa de seguridad de firmware Binarly reveló que cientos de productos UEFI de casi una docena de fabricantes son susceptibles a un problema crítico de suministro de firmware conocido como PKfail, que permite a los atacantes evadir el arranque seguro e instalar malware.
El problema técnico es relevante para los usuarios de altavoces y dispositivos inteligentes Sonos, ya que destaca la importancia de la seguridad cibernética y la necesidad de correcciones de seguridad continuas para proteger la privacidad y la integridad de los dispositivos conectados a Internet.
Vía The Hacker News
