Si está pensando en comprarle a su hijo un reloj inteligente de Amazon, debe pensar nuevamente
Como parte de un ejercicio de prueba de penetración, los investigadores de Rapid7 recientemente ordenaron tres relojes inteligentes de Amazon: el reloj inteligente para niños, el reloj inteligente para niños G36 y el reloj inteligente para niños SmarTurtles. Como sus nombres lo sugieren, son relojes inteligentes para niños, y están diseñados para ayudar a los padres a seguir a sus hijos y contactarlos cuando sea necesario. Después de hurgar un poco en los dispositivos, los expertos concluyeron que tienen algunas vulnerabilidades graves que, como veremos en un minuto, es poco probable que se solucionen pronto. Ahora echaremos un vistazo a los hallazgos de Rapid7 e intentaremos mostrarles a los padres preocupados a qué deben estar atentos cuando compren estos dispositivos para sus hijos.
Table of Contents
Un sistema de configuración basado en SMS mal implementado hace que los tres relojes sean presa fácil para los cibercriminales
Cuando configura un reloj inteligente por primera vez, coloca una tarjeta SIM válida y, en el caso de los tres dispositivos probados por Rapid7, se comunica con él mediante SMS. Una vez que inicia sesión (más sobre eso en un minuto), envía comandos como mensajes de texto para configurar algunos de los ajustes del dispositivo, vincularlo con la aplicación móvil en su teléfono y crear una lista blanca de números de teléfono que pueden comunicarse con el reloj. El último paso es especialmente importante porque te ayuda a asegurarte de que solo tú puedas controlarlo con el reloj inteligente de tu hijo. Eso es lo que se supone que debe suceder, de todos modos. Sin embargo, hay dos problemas fundamentales.
Por un lado, el mero uso de mensajes de texto no es una muy buena idea. Hemos hablado en el pasado sobre la antigüedad del protocolo de comunicación detrás de SMS, y como señalan los investigadores de Rapid7 en su informe, falsificar el número de teléfono del remitente no es nada difícil.
En otras palabras, incluso si todo lo demás funciona como debería, la seguridad de los relojes probados por Rapid7 no es excelente. Desafortunadamente, no todo lo demás funciona como debería.
Los investigadores descubrieron que la lista blanca que crea durante la configuración inicial no es funcional en absoluto. Usando un número que no está en la lista blanca, un atacante puede enviar los mensajes de texto del reloj, reconfigurarlo y configurarlo para que funcione con una aplicación en su dispositivo, lo que significa que pueden rastrear el paradero del niño y enviar mensajes. Antes de poder hacer todo esto, debe iniciar sesión en el reloj, lo que significa enviar una contraseña como SMS, pero también hay un problema con esto.
Los relojes vienen con una contraseña predeterminada débil y documentación lamentable
Como la mayoría de los dispositivos de este tipo, los relojes vienen con una contraseña predeterminada. Con los tres modelos, la contraseña en cuestión era "123456", que no es un escenario ideal. Como si eso no fuera suficiente, adivinar la contraseña podría no ser tan difícil, descubrir cómo cambiarla es una historia completamente diferente.
Si espera información clara sobre los mecanismos de autenticación en los manuales del usuario, no tiene suerte. Uno de los manuales no menciona la contraseña en absoluto. Otro dispositivo menciona la contraseña predeterminada, pero lo hace en una publicación de blog traducida dedicada al reloj inteligente, no en el manual real. El vendedor del tercer reloj no caracteriza la cadena como una contraseña y no proporciona información sobre qué se puede hacer para cambiarla.
¿Se pueden solucionar los problemas de seguridad?
Tapar los agujeros de seguridad que encontró Rapid7 no debería ser realmente tan difícil. El intercambio de SMS por un método de comunicación más robusto requeriría un rediseño importante de todo el backend, lo que sería difícil y costoso, pero se puede implementar una lista blanca que funcione y un mecanismo de restablecimiento de contraseña más obvio con una actualización de firmware relativamente simple. Elaborar un manual de usuario más detallado y distribuirlo a usuarios nuevos y existentes tampoco requiere mucho esfuerzo. Desafortunadamente, con toda probabilidad, no se hará nada para mitigar el riesgo.
Antes de revelar públicamente sus hallazgos, los investigadores de Rapid7 querían ponerse en contacto con los proveedores y ayudarlos a solucionar los problemas. Desafortunadamente, el fabricante del reloj inteligente para niños y el reloj inteligente para niños G36 no tiene presencia en línea fuera del mercado de Amazon, y aunque el tercer proveedor, SmarTurtles, tiene un sitio web, ha decidido no compartir ninguna información de contacto con el resto de el mundo.
Esto no solo significa que revelar vulnerabilidades de seguridad es imposible. También significa que el dispositivo de rastreo en la muñeca de su hijo puede ser desarrollado y vendido por una compañía que no quiere que lo contacte bajo ninguna circunstancia.
Obviamente, si ha comprado a sus hijos un reloj inteligente afectado por las vulnerabilidades enumeradas anteriormente, debe pensar cuidadosamente si realmente lo necesita tanto. Por lo menos, investigue un poco y asegúrese de cambiar la contraseña predeterminada porque, en su estado original, el mecanismo de autenticación es tan bueno como inexistente.
La investigación también valdrá la pena si aún no ha comprado un reloj inteligente para su hijo pero está pensando en obtener uno. Conéctese en línea y descubra cómo funciona el reloj y cómo se comunica con él antes de realizar el pedido. Consulte el manual del usuario y asegúrese de que si la configuración inicial depende de una contraseña predeterminada, hay una forma bien documentada de cambiarla una vez que todo esté en funcionamiento. Lea las reseñas y vea qué tipo de problemas han tenido que enfrentar otras personas. Por último, pero no menos importante, intente obtener más información sobre la compañía que ofrece el dispositivo. Si eso no es posible, es mejor simplemente alejarse.
