Investigadores de la Universidad de Ciencias Aplicadas de Münster en Alemania publicaron recientemente los resultados de una investigación sobre la seguridad de relojes inteligentes para niños de seis marcas diferentes, en la que descubrieron múltiples fallos de seguridad críticos que podrían ser explotados por actores malintencionados. Tal como explica un artículo publicado por Wired, los dispositivos analizados están diseñados para enviar y recibir mensajes de voz y de texto, y permiten a los padres rastrear la ubicación de sus hijos desde una app en sus teléfonos. Sin embargo, tras las pruebas realizadas descubrieron vulnerabilidades que permitirían a un atacante aprovecharse de esas funciones para monitorear la ubicación de los niños a partir del GPS de cinco de las seis marcas analizadas. Por si fuera poco, “descubrieron otras vulnerabilidades aún más severas y que permitirían a un atacante enviar mensajes de texto y voz a los niños, interceptar los mensajes entre padres e hijos, y grabar audio del entorno de los más pequeños”, explica el artículo.
Lectura relacionada: Seguridad por diseño: ¿es posible crear una casa inteligente segura?
Las marcas de los modelos de relojes inteligentes analizados son Starlian, JBC, Polywell, Pingonaut, ANIO, y Xplora. Esta no es la primera vez que se descubren fallas de seguridad en dispositivos IoT para los más chicos. En 2016, por ejemplo, investigadores descubrieron vulnerabilidades en peluches de Fisher-Price y en el reloj GPS hereO que exponían datos y la ubicación de los usuarios, mientras que en 2017, el Consejo de Consumidores de Noruega reveló en un estudio realizado también en relojes inteligentes para niños, la existencia de importantes fallas de seguridad. Las vulnerabilidades descubiertas en este caso en particular fueron reportadas a los fabricantes y muchas de ellas fueron corregidas, aunque algunas todavía no.
En el caso de los dispositivos inteligentes de los fabricantes JBC, Polywell, ANIO, y Starlian, los mismos utilizan una arquitectura de hardware y de backend común que tiene detrás al mismo fabricante, que es una compañía de china llamada 3G Electronics. Según explican los investigadores, tras realizar pruebas en los relojes de estas cuatro marcas descubrieron que las comunicaciones con el servidor (que envía y recibe información entre el dispositivo y la app instalada en los teléfonos de los padres) no eran cifradas ni contaban con mecanismos de autenticación. En este sentido, dado que cada uno de estos relojes inteligentes viene con un IMEI que funciona como identificador único, un atacante con este identificador puede aprovechar estas fallas para alterar la comunicación enviada desde el reloj al servidor y modificar la información sobre la localización, pero también puede espiar las comunicaciones al grabar sonido a través del reloj inteligente e incluso enviar un mensaje de voz haciendo creer al padre o la madre que es enviado desde el dispositivo de su hijo.
El ANIO4 touch presenta fallos de autenticación en la comunicación con el servidor que permitirían a un atacante que logre conectarse al servidor utilizando credenciales de inicio de sesión legítimas, falsear su identidad para enviar comandos haciéndose pasar por otro usuario. Asimismo, esto permitiría al atacante obtener información de localización e interceptar o suplantar la identidad de alguien mediante mensajes de texto o de audio, explica el medio. Algo de similares características ocurre con el reloj inteligente de Pingonat, más específicamente el Panda 2, que la falta de cifrado en sus comunicaciones con el servidor permitieron a los investigadores interceptar mensajes y alterar los datos de ubicación.
Las fallas de seguridad responsabilidad de 3G Electronics fueron reparadas, así como también las vulnerabilidades en los relojes de JBC y Polywell. En el caso de los relojes del fabricante Starlian aún siguen existiendo fallos reportados. En el caso del Panda 2, los fabricantes dijeron a los investigadores que añadirían cifrado TLS para asegurar las comunicaciones de sus nuevos modelos.
Algunos de los relojes analizados presentan fallos a corregir pero que no son vulnerabilidades críticas, como es en el caso del modelo Panda 2 de Pingonaut. Algo similar ocurrió con XPLORA GO, en el que no encontraron fallos críticos. Sin embargo, en el caso de ANIO4 Tocuch, por ejemplo, la falta de implementaciones de seguridad es importante.
Como muchos lectores saben, la seguridad en dispositivos IoT es un problema desde hace ya un tiempo genera preocupación. Algunos de las fallas presentadas en este estudio ya fueron detectadas en estudios previos, como el que realizó en 2017 el Consejo de Consumidores de Noruega y que reveló la existencia de importantes fallas de seguridad en relojes inteligentes para niños. Sin embargo, esto no provocó que los fabricantes realizaran análisis de seguridad más profundos en sus productos. Esto demuestra la necesidad de seguir trabajando en pos de que se mejore la implementación de la seguridad en dispositivos inteligentes, por ejemplo, a través de medidas impulsadas por las autoridades.
Quizás te interese: Legislar la seguridad de los dispositivos IoT: ¿es realmente la solución?