Los padres compran a sus hijos relojes inteligentes con GPS para seguirlos, pero las fallas de seguridad significan que no son los únicos que pueden hacerlo.
Solo este año, los investigadores han encontrado varias vulnerabilidades en varios relojes inteligentes de seguimiento de niños. Pero los nuevos hallazgos de hoy muestran que casi todos estaban albergando una falla mucho mayor y más dañina en una plataforma común de nube compartida utilizada para alimentar millones de relojes inteligentes habilitados para celulares.
La plataforma en la nube es desarrollada por el fabricante chino de electrónica de marca blanca Thinkrace, uno de los mayores fabricantes de dispositivos de localización. La plataforma funciona como un sistema de back-end para dispositivos fabricados por Thinkrace, almacenando y recuperando ubicaciones y otros datos del dispositivo. Thinkrace no solo vende sus propios relojes de seguimiento de niños a los padres que desean vigilar a sus hijos, sino que el fabricante de productos electrónicos también vende sus dispositivos de seguimiento a empresas de terceros, que luego vuelven a empaquetar y etiquetan los dispositivos con su propia marca para vender a los consumidores.
Todos los dispositivos fabricados o revendidos utilizan la misma plataforma en la nube, lo que garantiza que cualquier dispositivo de marca blanca fabricado por Thinkrace y vendido por uno de sus clientes es vulnerable.
Ken Munro, fundador de Pen Test Partners, compartió los hallazgos exclusivamente con TechCrunch. Su investigación encontró al menos 47 millones de dispositivos vulnerables.
“Es solo la punta del iceberg”, dijo a TechCrunch.
Smartwatches con fugas de datos de ubicación
Munro y su equipo descubrieron que Thinkrace fabricaba más de 360 dispositivos, principalmente relojes y otros rastreadores. Debido al etiquetado y la reventa, muchos dispositivos Thinkrace tienen una marca diferente
“A menudo, el propietario de la marca ni siquiera se da cuenta de que los dispositivos que están vendiendo están en una plataforma Thinkrace”, dijo Munro.
Cada dispositivo de seguimiento vendido interactúa con la plataforma en la nube directamente o mediante un punto final alojado en un dominio web operado por el revendedor. Los investigadores rastrearon los comandos hasta la plataforma en la nube de Thinkrace, que los investigadores describieron como un punto común de falla.
Los investigadores dijeron que la mayoría de los comandos que controlan los dispositivos no requieren autorización y los comandos están bien documentados, lo que permite a cualquier persona con conocimientos básicos obtener acceso y rastrear un dispositivo. Y debido a que no hay aleatorización de los números de cuenta, los investigadores descubrieron que podían acceder a dispositivos en masa simplemente aumentando cada número de cuenta en uno.
Los defectos no solo ponen en riesgo a los niños, sino también a otros que usan los dispositivos.
En un caso, Thinkrace proporcionó 10,000 relojes inteligentes a los atletas que participan en las Olimpiadas Especiales. Pero las vulnerabilidades significaron que cada atleta podría controlar su ubicación, dijeron los investigadores.
Grabaciones de voz infantil encontradas expuestas
Un fabricante de dispositivos compró los derechos para revender uno de los relojes inteligentes de Thinkrace. Al igual que muchos otros revendedores, el propietario de esta marca permitió a los padres rastrear el paradero de sus hijos y generar una alarma si abandonan un área geográfica establecida por el padre.
Los investigadores dijeron que podían rastrear la ubicación de cualquier niño que usara uno de estos relojes enumerando números de cuenta fáciles de adivinar.
El reloj inteligente también permite que padres e hijos se comuniquen entre ellos, como un walkie-talkie. Pero los investigadores encontraron que los mensajes de voz fueron grabados y almacenados en la nube insegura, lo que permite a cualquiera descargar archivos.
TechCrunch escuchó varias grabaciones elegidas al azar y pudo escuchar a los niños hablar con sus padres a través de la aplicación.
Los investigadores compararon los hallazgos con CloudPets, un juguete similar a un oso de peluche conectado a Internet, que, en 2017, dejó sus servidores en la nube desprotegidos, exponiendo dos millones de grabaciones de voz infantil.
Unos cinco millones de niños y padres usan el reloj inteligente vendido por el revendedor.
Divulgación whack-a-mole
Los investigadores revelaron las vulnerabilidades a varios fabricantes de productos electrónicos de marca blanca en 2015 y 2017, incluido Thinkrace.
Algunos de los revendedores arreglaron sus puntos finales vulnerables. En algunos casos, las correcciones implementadas para proteger los puntos finales vulnerables se deshicieron posteriormente. Pero muchas compañías simplemente ignoraron las advertencias, lo que llevó a los investigadores a hacer públicos sus hallazgos.
Rick Tang, un portavoz de Thinkrace, no respondió a una solicitud de comentarios.
Munro dijo que aunque no se cree que las vulnerabilidades hayan sido ampliamente explotadas, los fabricantes de dispositivos como Thinkrace “necesitan mejorar” para construir sistemas más seguros. Hasta entonces, Munro dijo que los propietarios deberían dejar de usar estos dispositivos.
Source link