35c3
Werner Schober es un investigador en SEC Consult y un estudiante en la Universidad Austriaca de Ciencias Aplicadas que en su quinto año se enfrentó a un problema muy familiar para muchos de nosotros: elegir el tema de su tesis.
Empezó haciendo una nube de palabras sacadas de los temas elegidos por sus compañeros. Estaban todas las palabras de moda en la informática: bitcoin, GDPR, nube, etc. Pero por alguna razón, no aparecía el Internet de las Cosas (IdC), un tema muy candente hoy día. La elección era obvia, especialmente por su trabajo en SEC Consult que le había dado algo de experiencia en pruebas de penetración (hackeando dispositivos y redes y encontrando vulnerabilidades en ellos, por ejemplo), lo cual podría aplicarse a su investigación.
Sin embargo, el Internet de las Cosas es un concepto muy amplio, que cubre desde semáforos y marcapasos hasta teteras inteligentes, por tanto, debía centrarse en algo más concreto. Pero las infraestructuras críticas que usan Internet de las Cosas (como los semáforos y marcapasos) se habían investigado ya a fondo. Así como el hogar inteligente con sus teteras y bombillas; sin encontrar vulnerabilidades en dispositivos realmente críticas. ¿Y si han lanzado un DDoS contra tu cortacésped inteligente? Te tocará cortar el césped por ti mismo.
Ante esto, Werner eligió una subcategoría de IdC que no había sido tan investigada (aunque existían algunos estudios, puesto que a los hackers les encanta lo prohibido) y dónde las vulnerabilidades pueden llevar a consecuencias reales: los juguetes sexuales.
Werner probó tres dispositivos: dos chinos y uno alemán. ¿Adivinas cuál era más vulnerable? Alerta de spoiler: el alemán. ¡Pero cómo! Las vulnerabilidades de seguridad eran tan críticas y tan numerosas que Werner abandonó por completo los chinos y centró toda su tesis en el alemán. En el Chaos Communication Congress 35 (35C3) habló sobre lo que encontró.
El alemán se llama Vibratissimo PantyBuster. Se conecta por Bluetooth a un móvil Android o iOS y se controla a través de una aplicación, tanto en local como en remoto, desde otro smartphone. Sin embargo, las funciones de la aplicación se extienden mucho más lejos, comprenden esencialmente una red social completa con chats de grupo (!), álbumes (!!), listas de amigos (!!!) y otras características.
Software: Conociendo a otros usuarios de juguetes sexuales
Empecemos con las vulnerabilidades de software. En el directorio raíz de la web de Vibrantissimo, Werner encontró un archivo de guardado .DS, básicamente una lista de todos los archivos y carpetas contenidos en un directorio con configuraciones adicionales que macOS crea para poder representar correctamente los iconos y el orden de los archivos. Werner fue capaz de descifrar el archivo, descubriendo de este modo los nombres de todas las carpetas y archivos en el directorio raíz.
Una carpeta interesante fue la carpeta Config, que contenía un archivo del mismo nombre con credenciales (no cifrados) para acceder a la base de datos. Werner fue capaz de encontrar una interfaz con la cual conectarse a la base de datos, introdujo las credenciales y consiguió acceso a los datos privados de todos los usuarios de Vibrantissimo, incluyendo sus nombres de usuario y contraseñas (guardados también sin cifrarlos), así como sus chats, imágenes y vídeos. ¿Qué tipo de conversaciones e imágenes pueden encontrarse en una red basada en un juguete sexual? Probablemente altamente personales.
Otro problema de privacidad más: cuando se crea un álbum en la aplicación, se le asigna un ID. Y cuando quieres ver el álbum, la aplicación manda una solicitud que incluye ese ID. Para hacer las pruebas, Werner creó un álbum con dos fotos de gatos, obtuvo su ID y pensó: ¿qué pasará si modifico un poco el ID en la solicitud, restándole un número por ejemplo? De este modo, obtuvo acceso al álbum de otra persona (que no contenía fotos de gatos precisamente).
La aplicación permite también a los usuarios crear un enlace de control para encender el dispositivo a distancia que los usuarios pueden compartir con otros (para relaciones a distancia y cosas por el estilo). Cuando alguien usa el enlace no se realiza ningún tipo de confirmación, sino que simplemente el juguete se enciende inmediatamente. El enlace contiene también un ID. ¿Adivinas qué ocurre cuando restas uno al ID? Justo, el dispositivo de otra persona se enciende inmediatamente.
Además, durante la autenticación, cuando inicias sesión en la aplicación, esta envía una solicitud al servidor con el nombre de usuario y contraseña en texto legible, sin cifrar, de modo que, en una red pública, cualquiera puede interceptarlo (no se trata precisamente de una seguridad de última generación). Había otras vulnerabilidades de software, pero no tan graves. Pero hay bastantes vulnerabilidades en otras secciones; a nivel de transporte (comunicaciones con el dispositivo) y vulnerabilidades de hardware.
Interfaz: Conectándote con extraños al azar
Como ya se ha mencionado, el Vibratissimo PantyBuster se conecta por Bluetooth a un smartphone. Específicamente, usa Bluetooth Low Energy, que permite la implementación de 5 sistemas de emparejado (formas de intercambiar claves para establecer una conexión entre dispositivos). La contraseña que se introduce en el smartphone puede estar escrita en el propio dispositivo, mostrarse en la pantalla o conocerse de antemano (puede ser, por ejemplo, 0 o 1234). Además, los dispositivos pueden intercambiar claves por NFC o puede no haber ningún emparejamiento en absoluto.
El PantyBuster no tiene pantalla, ni puede usar NFC, de modo que podemos tachar esas opciones. Dos de las opciones restantes son algo seguras (algo), pero los fabricantes del dispositivo valoraban la simplicidad por encima de todo, de modo que eligieron un acercamiento básico e inseguro: sin emparejamiento. Eso significa que, si alguien conoce el comando de activación y lo envía, todos los dispositivos dentro del radio de acción de bluetooth se activarán a la vez. De modo que cualquiera que tenga la aplicación activada puede ir por el metro, por ejemplo, y dar una “agradable” sorpresa a todos los “afortunados” dueños que estén viajando con sus dispositivos.
Werner escribió un simple programa que escanea buscando dispositivos con Bluetooth LE activado, comprueba si son o no juguetes sexuales y, si lo son, los enciende al máximo nivel. En caso de que alguien se lo pregunte, esa acción contra la seguridad de los dispositivos no se considera violación de acuerdo con la ley austriaca, pero el código penal del país sí contiene un párrafo sobre “actos sexuales no deseados” y es posible que otras regiones lo tengan también.
Hardware: Qué hay dentro
En primer lugar, no hay opción de actualizar el software. En otras palabras, el fabricante puede hacerlo, pero no el usuario. Cuando fue informado de la investigación de Werner, el fabricante propuso que los clientes devolvieran los dispositivos, para que estos fueran actualizados y luego enviados de vuelta. Pero es improbable que alguien quiera mandar a reparar un juguete sexual usado.
En segundo lugar, si se abre el dispositivo, es posible encontrar interfaces que el fabricante usó para depurar el código y olvidó cerrar. Estas interfaces se pueden usar para extraer y luego analizar el firmware.
Los problemas del IdC siguen surgiendo
La charla de media hora de Werner contenía muchos problemas y pocas soluciones (principalmente porque no existen). Por supuesto, Werner se puso en contacto con el fabricante y juntos arreglaron la mayor parte de los problemas de seguridad en la aplicación y el dispositivo. Pero los problemas a nivel de hardware en dispositivos vendidos ya no tienen solución.
Ya solo queda repetir el consejo que damos en casi todas las publicaciones sobre la seguridad de los objetos inteligentes: antes de comprar un dispositivo inteligente, infórmate online al respecto. Y piensa bien (al menos 10 veces) si realmente quieres sus características “inteligentes”. ¿Quizá puedas apañarte con una versión estándar de lo mismo que no se conecte a la red ni sea controlado por una aplicación? Será más barato y definitivamente más seguro.
Consejos