Los piratas informáticos pueden usar juguetes sexuales inteligentes para chantajear. Investigadores de ESET descubren vulnerabilidades en We-Vibe "Jive" y Lovense "Max".
Investigadores de ESET han encontrado serias vulnerabilidades de seguridad en dos juguetes sexuales conectados. We-Vibe "Jive" y Lovense "Max" logran altas ventas durante la pandemia de Corona. El inmenso interés también atrae a los ciberdelincuentes. Los investigadores de ESET encontraron las vulnerabilidades en las aplicaciones que controlan los dos juguetes sexuales. Esto podría permitir a los atacantes instalar malware en los teléfonos inteligentes utilizados y también robar datos. Además del posible daño físico por el mal uso de los dispositivos, existe el riesgo de ser chantajeado con fotos, chats u otros datos robados. Ambos fabricantes recibieron información sobre las vulnerabilidades de ESET y ya las cerraron. Los expertos del fabricante europeo de seguridad informática han publicado su análisis en un libro blanco en WeliveSecurity.
juguetes sexuales inteligentes
“Se debe dar alta prioridad a la seguridad de TI, especialmente cuando se desarrollan juguetes sexuales inteligentes. Los posibles peligros para el usuario son altos, nadie quiere ser chantajeado con grabaciones o conversaciones íntimas”, explican las investigadoras de ESET Denise Giusto y Cecilia Pastorino. “Con la mayoría de los juguetes sexuales actuales, los fabricantes han descuidado criminalmente el aspecto de la seguridad. Esto necesita cambiar urgentemente con el mayor desarrollo de estos dispositivos”.
Los dispositivos son atractivos para los delincuentes
Con la llegada de modelos avanzados de juguetes sexuales que incluyen aplicaciones, mensajería, chat de video e interconectividad basada en la web, los dispositivos se han vuelto cada vez más atractivos para los ciberdelincuentes y más fáciles de explotar. El robo de datos en esta área puede ser devastador para el usuario, filtrando información como orientación sexual, comportamiento sexual y fotos íntimas. Por lo tanto, para proteger la privacidad, es esencial dar alta prioridad a la seguridad de TI al planificar y desarrollar estos dispositivos.
Nosotros vibramos
Los investigadores de ESET descubrieron que We-Vibe "Jive" anuncia constantemente su presencia, haciéndolo detectable con un escáner Bluetooth. Los atacantes potenciales podrían usar esto para identificar el dispositivo y usar la intensidad de la señal para llegar al operador. El dispositivo utiliza el método de emparejamiento Bluetooth de baja energía (abreviado: BLE). Aquí es posible cambiar el código de clave temporal que utilizan los dispositivos mientras se establece la conexión sin ningún problema. Esto permite que cualquier dispositivo se conecte al "Jive". La autenticación no es necesaria. No se necesitaría la aplicación oficial del fabricante para obtener el control, un navegador es suficiente. Esto hace que el dispositivo sea muy vulnerable a los ataques man-in-the-middle (MitM).
Otro problema existe en los intercambios entre usuarios durante las sesiones de chat. Los usuarios tienen la opción de enviar archivos multimedia. Existe el riesgo de que también se comparta información sobre los dispositivos utilizados y la geolocalización exacta.
Lovense
El Lovense "Max" puede sincronizarse con una contraparte remota. Esto significa que los atacantes pueden tomar el control de ambos dispositivos aunque solo uno haya sido comprometido. En el dispositivo Lovense, el diseño de la aplicación es una amenaza para la privacidad de los usuarios. Hay opciones para que las imágenes se envíen a terceros sin el conocimiento del propietario. Asimismo, los usuarios eliminados o bloqueados siguen teniendo acceso al historial de chat y a todo el contenido multimedia compartido.
Además, este dispositivo no incluye autenticación para conexiones BLE, por lo que puede usarse para ataques MitM para interceptar la conexión, enviar comandos y controlar los motores del dispositivo. Además, el uso de direcciones de correo electrónico en las identificaciones de usuario de la aplicación plantea algunos problemas de privacidad, ya que las direcciones se comparten en texto sin formato en todos los teléfonos involucrados en un chat.
Más información en WeLiveSecurity en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.