Los fabricantes de IoT no se preocupan por la seguridad mientras ahorran dinero en la producción. Y qué tal un cinturón de castidad?

Los analistas de Pen Test Partners han estudiado un dispositivo extremadamente inusual: el cinturón de castidad masculino Cellmate fabricado por la empresa china Qiui. Dichos dispositivos permiten a los propietarios confiar el acceso a sus genitales a un socio que puede bloquear y desbloquear el dispositivo de forma remota mediante Bluetooth y una aplicación especial.

Sin embargo, debido a numerosos problemas de seguridad, los piratas informáticos pueden bloquear y abrir estos dispositivos de forma remota. Simplemente no hay control manual para la apertura de “emergencia” o una llave física para Cellmate. Es decir, los usuarios bloqueados se encontrarán en una situación extremadamente desagradable.

Captura de pantalla de la descripción del cinturón
Descripcion del articulo en la página oficial

Perversión peligrosa

Los investigadores han verificado e informado que la apertura del dispositivo bloqueado solo se puede hacer con un cortador de pernos o una amoladora. Cortando el arco de acero.. El asunto se complica por el hecho de que se encuentra alrededor de los testículos del propietario del dispositivo. El dispositivo también se abrirá en caso de una sobrecarga de la placa que controla el funcionamiento de la cerradura. Para ello es necesario aplicar aproximadamente tres voltios de electricidad al dispositivo.

“A lo largo de los años, nosotros y otros investigadores hemos encontrado repetidamente problemas similares con diferentes fabricantes de juguetes sexuales. Personalmente, creo que estos dispositivos íntimos deben cumplir con estándares de seguridad más altos que cualquier bombilla ”, dice Alex Lomas, experto de Pen Test Partners.

Curiosamente, los investigadores informaron al fabricante de las preocupaciones de seguridad de Cellmate en abril de este año. Al principio los representantes de Qiui se pusieron en contacto voluntariamente. Pero, resultó que los ingenieros de la compañía no pudieron eliminar por completo la vulnerabilidad. Desde entonces Qiui dejó de responder a las cartas de los especialistas.

El principal problema de Cellmate es su API, que se utiliza para comunicarse entre un dispositivo y una aplicación móvil dedicada. La API resultó estar abierta a cualquier persona y no está protegida por contraseña. Debido a esto, cualquiera puede tomar el control del dispositivo de cualquier usuario. Esto no solo permitirá a los piratas informáticos controlar de forma remota el Cellmate, sino que también ayudará a obtener acceso a la información de la víctima, incluidos los datos de ubicación y las contraseñas.

Los ingenieros de Qiui actualizaron su aplicación en junio en un esfuerzo por corregir el error. Pero los usuarios que todavía usan versiones anteriores siguen siendo vulnerables a los ataques. Alex Lomas explica que los desarrolladores se encuentran en un dilema en este momento. Si deshabilitan por completo la API anterior, solucionará la vulnerabilidad, pero los usuarios que aún no hayan actualizado la aplicación serán bloqueados. Si la API continúa funcionando, las versiones anteriores de la aplicación serán vulnerables a los ataques.

Pobres genitales

El director ejecutivo de Qiui, Jake Guo, le dijo a TechCrunch que una corrección de errores completa debe realizarse en agosto, pero que la fecha límite ha pasado y todavía no hay una solución al problema. En una de sus cartas, Guo dijo a los periodistas que “arreglarlo sólo creará más problemas”.

Como resultado, después de varios meses de comunicación con los desarrolladores, los analistas de Pen Test Partners decidieron publicar información sobre los problemas de Cellmate. Tenían esperanza de que esto contribuyera a su solución completa. No revelaron todos los detalles sobre la vulnerabilidad para que los hackers no se aprovechen de ella.

Sin embargo, según TechCrunch, esta vulnerabilidad es el menor de los problemas para los propietarios de dichos dispositivos. A juzgar por las reseñas en Apple App Store y Google Play Store que dejan los usuarios de la aplicación móvil Cellmate, a menudo deja de funcionar por sí sola, por accidente.

“La aplicación dejó de funcionar completamente después de tres días y me quedé atascado”, escribe un usuario. “¡Este es un programa PELIGROSO!”, Advierte otro propietario de Cellmate. Otra reseña de una estrella dice: “Después de la actualización, la aplicación dejó de abrir mi cinturón de castidad. Esto es terrible considerando que confiamos en él y no hay explicación en el sitio web [del fabricante] “. Otra víctima se queja: “¡Mi pareja está encerrada! Esto es indignante ya que aún se desconoce si se solucionará y no hay nuevas respuestas por correo electrónico. ¡Muy peligroso! ¡Y aterrador! Dado lo que controla esta aplicación, debe ser confiable “.

Cinturón de castidad espía

“Es muy difícil con solo mirar un producto o aplicación para determinar si almacena de forma segura sus datos o recopila información de uso detallada y similares.”, dice Lomas. – “Con suerte, en el futuro, algunos países y estados comenzarán a introducir estándares para los productos de IoT. Pero por ahora, antes de comprar, simplemente escriba en el motor de búsqueda “nombre del producto + vulnerabilidad” o busque páginas de seguridad en el sitio web del fabricante”.

Debo decir que la seguridad de los juguetes sexuales y otros dispositivos íntimos, desafortunadamente, realmente deja mucho que desear. No es diferente de la mayoría de los otros dispositivos de IoT. Por ejemplo, en 2017, investigadores de la misma empresa Pen Test Partners descubrieron muchos problemas en vibradores inteligentes equipados con cámaras de video. También en la conferencia DEFCON, hablaron sobre los problemas de otro vibrador “inteligente”, We-Vibe 4 Plus. Resultó que los dispositivos íntimos espían a sus propietarios y el fabricante recopila mucha información. Luego, otro fabricante de juguetes sexuales se encontró en una situación similar. También espiaba a los usuarios de sus dispositivos.