Los relojes inteligentes para niños son una pesadilla de seguridad a pesar de años de advertencias

Conectando cada posible dispositivo en nuestras vidas a Internet siempre ha representó un riesgo de seguridad. Pero ese riesgo es mucho más pronunciado cuando se trata de un reloj inteligente sujeto a la muñeca de su hijo. Ahora, incluso después de años de advertencias sobre las fallas de seguridad de muchos de esos dispositivos, un grupo de investigadores ha demostrado que varios siguen siendo terriblemente fáciles de abusar por parte de los piratas informáticos.

en un papel publicado a fines del mes pasado, investigadores de la Universidad de Ciencias Aplicadas de Münster en Alemania detallaron sus pruebas de seguridad de seis marcas de relojes inteligentes comercializados para niños. Están diseñados para enviar y recibir mensajes de texto y de voz, y permiten que los padres rastreen la ubicación de sus hijos desde una aplicación para teléfonos inteligentes. Los investigadores descubrieron que los piratas informáticos podían abusar de esas funciones para rastrear la ubicación de un niño objetivo utilizando el GPS del reloj en cinco de las seis marcas de relojes que probaron. Varios de los relojes tenían vulnerabilidades aún más graves, lo que permitía a los piratas informáticos enviar mensajes de voz y texto a los niños que parecían provenir de sus padres, interceptar las comunicaciones entre padres e hijos e incluso grabar audio del entorno de un niño y escucharlos a escondidas. Los investigadores de Münster compartieron sus hallazgos con las compañías de relojes inteligentes en abril, pero dicen que varios de los errores que revelaron aún no se han corregido.

El estudio de Münster se basa en años de hallazgos similares. Varios vulnerabilidades en los relojes inteligentes de los niños se han encontrado en anterior investigación incluyendo un estudio de la agencia noruega de protección del consumidor que encontró problemas igualmente alarmantes. La Comisión Europea incluso emitió un retiro para un reloj inteligente centrado en niños el año pasado. Dadas esas repetidas exposiciones, los investigadores de Münster se sorprendieron al encontrar que los productos que probaron todavía estaban plagados de vulnerabilidades.

«Fue una locura», dice Sebastian Schinzel, un informático de la Universidad de Münster que trabajó en el estudio y lo presentó en la Conferencia Internacional sobre Disponibilidad, Confiabilidad y Seguridad a fines de agosto. «Todo estaba básicamente roto».

Los investigadores de Münster se centraron en seis relojes inteligentes vendidos por JBC, Polywell, Starlian, Pingonaut, ANIO y Xplora. Pero al analizar el diseño de los relojes, descubrieron que JBC, Polywell, ANIO y Starlian básicamente usan variaciones en un modelo del mismo fabricante de marca blanca, con el hardware del reloj y la arquitectura del servidor backend proporcionados por un chino con sede en Shenzhen. empresa llamada 3G.

Esos cuatro dispositivos resultaron ser los más vulnerables entre los probados. Los investigadores encontraron, de hecho, que los relojes inteligentes que usaban el sistema 3G no tenían encriptación ni autenticación en sus comunicaciones con el servidor que transmite información hacia y desde la aplicación del teléfono inteligente de los padres. Al igual que con los teléfonos inteligentes, cada reloj inteligente viene con un identificador de dispositivo único conocido como IMEI. Si los investigadores pudieran determinar el IMEI para un niño objetivo, o simplemente elegir uno al azar, podrían falsificar las comunicaciones del reloj inteligente al servidor para indicarle una ubicación falsa para el niño, por ejemplo, o enviar un mensaje de audio al servidor que parecía provenir del reloj. Quizás lo más inquietante es que dicen que podrían hacerse pasar por el servidor para enviar un comando al reloj inteligente que inició la grabación de audio de los alrededores del reloj que se transmite al pirata informático.

Por separado, los investigadores dicen que encontraron múltiples instancias de una forma común de falla de seguridad en el servidor de backend de 3G, conocida como vulnerabilidades de inyección SQL, en las que las entradas a una base de datos SQL pueden incluir comandos maliciosos. Abusar de esas fallas podría haberle dado a un pirata informático un amplio acceso a los datos de los usuarios, aunque por razones legales y éticas, el equipo en realidad no intentó ese robo de datos. «No queríamos dañar a las personas, pero podríamos haber obtenido todos los datos del usuario y todos los datos de posición, mensajes de voz de los padres a los niños y viceversa», dice el investigador de la Universidad de Münster Christoph Saatjohann.

.

Deja un comentario

Cart
Your cart is currently empty.