Conecta con nosotros

Opinión

IoD: el IoT de los más atrevidos

La popularización de los objetos conectados traerá grandes retos tecnológicos, el principal, la seguridad. Una de las más avanzadas, la categoría de dispositivos eróticos conectados (IoD) ya está mostrando a qué clase de problemas nos enfrentaremos.

Publicado el

vejez

(Artículo de opinión elaborado por Claudio Chifa, experto en ciberseguridad)

El jueves pasado, «I.P.», gran profesional de la seguridad que tiene todo mi respeto tanto personal como profesional (y me permito decir que, a día de hoy, aunque nos vemos poco es un gran amigo), compartía en un grupo de CEH/CHFI y otros temas forenses de WhatsApp un estudio titulado «Internet of Dildos: A Long Way to a Vibrant Future – From IoT to IoD«.

Después de muchas risas y comentarios graciosos del estilo: «El dispositivo es la p****a», «A ver, quién propone la 1ª DildoCON mundial?», «Hack&Dildos», «DSO – Dildo Security Officer», el tono de conversación tanto online como offline ha cambiado.

¿Y si estos dispositivos conectados a Internet fueran cámaras, lavadoras, vehículos u otro dispositivo cotidiano muy extendido? ¿Nos lo tomaríamos con el mismo tono de humor? El estudio mencionado se centra los graves problemas de seguridad hallados en la línea de productos sexuales conectados, Vibratissimo, fabricados por Amor Gummiwaren GmbH, concretamente en los dispositivos siguientes:

  • Vibratissimo Panty Buster
  • MagicMotion Flamingo
  • Realov Lydia

Los resultados son la base de una tesis escrita por el doctor Werner Schober, en cooperación con SEC Consult y la Universidad de Ciencias Aplicadas de St. Pölten.

En ella se analizan estos dispositivos usando técnicas de ingeniería inversa de protocolo BlueTooth y técnicas habituales de pentesting de aplicaciones móvil y web. La cantidad de fallos descubierta por este investigador, tanto en los dispositivos, apps de IOS y Android así como en la plataforma web del proveedor, es inmensa.

Es de mencionar que estas aplicaciones permiten chat entre usuarios y control remoto de los dispositivos, entre otras muchas funciones.

Vulnerabilidades encontradas

1 – Divulgación de credenciales de la base de datos del cliente

Las credenciales para todo el entorno de la base de datos Vibratissimo se expusieron en Internet. Debido a que la interfaz PHPMyAdmin también se expuso, un atacante podría haber podido conectarse a la base de datos y volcar todo el conjunto de datos, entre los cuales están:

  • Nombres de usuario
  • Tokens de autentificación
  • Contraseñas en texto plano
  • Historiales de chat
  • Galerías de imágenes explícitas, que son creadas por los propios usuarios

2 – Conexiones de Bluetooth LE sin contraseña

Los dispositivos están conectados sin autenticación previa a la aplicación, que es el caso de uso estándar. Por ejemplo, uno de los servicios Bluetooth identificados permite leer la temperatura actual del dispositivo. Otros servicios a los que se puede acceder sin autenticación previa son:

  • Ajuste de la «intensidad» del patrón de vibración actual.
  • Lectura de varios valores (temperatura, etc.).

Este no es ni el primer ni el único estudio realizado a este tipo de dispositivos. A principios de 2017, PenTestPartners publicó un estudio sobre dispositivos IoD, que la web británica The Register resume bajo el titular «Wi-Fi sex toy with built-in camera fails penetration test». Estos dispositivos llevan una cámara y crean un punto de acceso wifi para que podamos enlazar con nuestro teléfono móvil, además disponen de varias funcionalidades ocultas que nos hacen preguntarnos:

  • ¿Es necesario que un dispositivo de estas características sea también un punto de acceso Wi-Fi?
  • ¿Y que estos dispositivos comparta imagines de la cámara incorporada con tanta facilidad ?
  • ¿Debería ese dispositivo contener una funcionalidad oculta para conectarse a Skype?
  • ¿Y guardar vídeos automáticamente en un archivo compartido de red?
  • ¿O enviar fotos en correos electrónicos?

Volviendo a la reflexión anterior: ¿ y si estos dispositivos conectados a internet fueran cámaras, lavadoras, vehículos u otro dispositivo cotidiano muy extendido? ¿Nos lo tomaríamos con el mismo tono de humor? Posiblemente haya más de estas características en el mundo que lavadoras, frigoríficos, incluso cámaras de uso doméstico. No solo eso, estos dispositivos de uso íntimo pueden ser manipulados por un tercero que desconocemos, que con suficiente ingenio y malicia nos puede causar un daño físico personal, abusando de sus funcionalidades.

Claudio ChifaClaudio Chifa es un experto en ciberseguridad con más de 15 años de experiencia y reconocidas certificaciones a sus espaldas. Entre sus intereses destacan las ciencias forenses y el cloud computing. Ha impartido charlas y ponencias en diferentes foros públicos, también es colaborador habitual de diferentes asociaciones de peritos y FCSE como la Policía Nacional y Guardia Civil. Actualmente, Claudio es responsable del área de ciberseguridad cloud e infraestructura en SCASSI CIBERSEGURIDAD, donde coordina varias iniciativas I+D en el ámbito de las redes honey.

El equipo de profesionales de MCPRO se encarga de publicar diariamente la información que interesa al sector profesional TI.

Lo más leído