VESTIBLES INSEGUROS: INVESTIGADOR DE KASPERSKY LAB EXPONE PROBLEMAS DE SEGURIDAD EN SU PULSERA DE ACTIVIDAD FÍSICA
Los
rastreadores de aptitud de todas clases han llegado a ser muy populares porque
ayudan a la gente a administrar su actividad física, la ingesta de calorías y a
mantenerse en forma. Sin embargo, tales dispositivos también procesan valiosos
datos personales acerca de sus propietarios y es importante mantenerlos
seguros. El investigador de Kaspersky LabRoman
Unuchek examinó cómo interactúan varias pulseras de
actividad física con un smartphone y descubrió algunos hechos sorprendentes.
Según sus
conclusiones de investigación, el método de autenticación que aplica en
muchas pulseras inteligentes le permite que terceros se puedan conectar de
manera invisible con el dispositivo, ejecutar comandos, y - en ocasiones -
extraer datos almacenados en el dispositivo. En los dispositivos
inspeccionados por el investigador de Kaspersky Lab, tales datos estuvieron
limitados a la cantidad de pasos caminados por el propietario durante la hora
anterior. Sin embargo, en el futuro, cuando salgan a la venta la
siguiente generación de pulseras capaces de recopilar un volumen mayor y más
variado de datos, podría aumentar de manera significativa el riesgo de que se
filtren datos médicos delicados del propietario.
La conexión
maliciosa es posible debido a la forma en que la pulsera inteligente se enlaza
con el smartphone. Según la investigación, un dispositivo con sistema operativo
Android versión 4.3 o mayor, con una aplicación especial no autorizada
instalada se puede emparejar con pulseras inteligentes de algunos proveedores.
Para establecer una conexión, los usuarios deben confirmar el emparejamiento
oprimiendo un botón en la pulsera inteligente. Los atacantes pueden vencer
fácilmente este obstáculo, porque la mayoría de las pulseras de actividad
física no tienen pantalla. Cuando la pulsera vibra solicitando a su
propietario que confirme el emparejamiento, la víctima no tiene forma de saber
si está confirmando una conexión con su propio dispositivo o con el de alguien
más.
"Esta
Prueba de Concepto depende de muchas condiciones para que trabaje
apropiadamente, y al final un atacante no podría reunir los datos realmente
críticos como números de contraseñas ni de tarjetas de crédito. Sin embargo,
demuestra que hay forma de que un atacante pueda aprovechar errores dejados sin
parche por los desarrolladores del dispositivo. Los rastreadores de aptitud
actualmente disponibles son todavía bastante limitados, sólo capaces de contar
pasos y ciclos de sueño, pero nada más. Sin embargo, la siguiente generación de
tales dispositivos ya está casi aquí, y éstos podrán manejar mucha más
información acerca de los usuarios. Es importante pensar en la seguridad de
estos dispositivos ahora, y asegurar que haya la protección apropiada de cómo
el rastreador interactúa con el smartphone", dijo Roman Unuchek,
Analista Sénior de Malware de Kaspersky Lab.
Los
expertos de Kaspersky Lab aconsejan a los usuarios de pulseras inteligentes que
estén preocupados por la seguridad de sus dispositivos, verifiquen con los
proveedores de las pulseras si sería posible un ataque potencial en su
producto.
Lea más
acerca de la investigación realizada por Roman Unuchek en Securelist.com.
No hay comentarios:
Publicar un comentario