Pentesting IoT device: smart doorlock

Abstract

El panorama actual demuestra que cada vez existe una mayor dependencia del uso de los dispositivos IoT en todos los ámbitos. Pero un aspecto que no está siendo gestionado correctamente, es el de la seguridad lógica, encontrándose un gran número de dispositivos vulnerables en el mercado. Por lo tanto, es necesario establecer estándares y patrones para el diseño de los dispositivos a la par que, realizar auditorías previas a su comercialización, para dotar a los dispositivos de un examen que pueda verificar que como mínimo se ha revisado la seguridad de los mismos. Actualmente existen muchas recomendaciones sobre estándares de diseño por parte de organismos como ISACA o OWASP, pero no existe un estándar mundial para el sector. En el siguiente trabajo se realiza un estudio que refleja la necesidad de seguir estos estándares y realizar las auditoras. En especial de los dispositivos basados en Bluetooth ya que en el sector de los dispositivos IoT el uso de la tecnología Bluetooth es muy común, por lo que es necesario hacer hincapié en las vulnerabilidades existentes y los distintos tipos de ataques. Con la realización de una auditoría de test de penetración (Pentest) sobre el candado inteligente se demuestra la necesidad de hacer estas auditorías antes de poner este tipo de productos a la venta.The current situation shows us that there is an increasing dependence on the use of IoT devices in every environment. However, one aspect that has not been correctly managed is security. Therefore, it is necessary to establish standards and patterns in the design stage of the devices, as well as conducting ethical hacking audits, to make sure that they are secure to use. Currently there are many recommendations from organizations such as ISACA or OWASP, but there is not a global standard for the sector. The use of Bluetooth as a technology in IoT devices is very usual, so here is the reason to insist on the actual existing vulnerabilities and attacks. Given the ethical hacking audit did on the smart lock, it demonstrates the need to do these audits before putting these products on sale.