La empresa de seguridad informática Kaspersky descubrió recientemente que los dispositivos inteligentes de Chirp Systems, que utilizan tecnología de comunicación de audio ultrasónico para desbloquear cerraduras, presentan una grave vulnerabilidad. Esta brecha de seguridad permite que los atacantes intercepten las claves digitales que se transmiten entre el dispositivo móvil del usuario y la cerradura.
Como resultado, los hackers podrían hacerse con el control de la cerradura sin el conocimiento del propietario. Se recomienda a los usuarios de los productos de Chirp Systems que estén atentos a las actualizaciones de seguridad y tomen medidas adicionales para proteger sus dispositivos y propiedades.
El 7 de marzo de 2024, la CISA alertó sobre una vulnerabilidad en las cerraduras inteligentes de Chirp Systems que podría explotarse remotamente con una baja complejidad de ataque. Según CISA, las cerraduras de Chirp Access guardan indebidamente credenciales dentro de su código fuente, exponiendo información sensible a accesos no autorizados. A pesar de los intentos de comunicación con Chirp Systems para mitigar este riesgo, la compañía no ha respondido.
Matt Brown, ingeniero senior de desarrollo de sistemas en Amazon Web Services y quien descubrió la falla, notificó a Chirp en marzo de 2021. Brown reveló que después de descompilar la aplicación de Chirp en su dispositivo Android, encontró que almacenaban contraseñas y claves privadas en un archivo accesible. Usando estas credenciales, se podrían manipular las cerraduras de cualquier edificio que utilice esta tecnología.
Además, las credenciales se transmiten en texto plano a través de dispositivos de comunicación de campo cercano (NFC), aumentando el riesgo de que sean clonadas.
Chirp Systems fue adquirida por RealPage en el año anterior a que Brown reportara la vulnerabilidad. RealPage, a su vez, fue comprada por el gigante de capital privado Thoma Bravo en 2021. Esta sucesión de adquisiciones plantea preguntas sobre la responsabilidad corporativa y la atención a la seguridad de los productos de Chirp.
RealPage también está siendo investigada y demandada por supuestamente ayudar a los arrendadores a inflar las rentas mediante un algoritmo que desalienta la negociación de rentas, favoreciendo estrategias que maximizan los ingresos incluso a costa de tasas de ocupación más bajas. Estas prácticas han provocado que el Departamento de Justicia de EE. UU. apoye una demanda masiva por parte de inquilinos que acusan a la compañía de colusión para inflar rentas.
