Los expertos de la empresa noruega Mnemonic confían en haber encontrado una puerta trasera en relojes inteligentes para niños Xplora 4, creado por la empresa china Qihoo 360 Technology Co. Al final resultó que, el reloj puede tomar fotos y grabar sonido, y estas funciones se activan mediante un mensaje SMS cifrado.

Según el fabricante, hasta ahora se han vendido más de 350.000 de estos dispositivos Android. Pueden realizar y recibir llamadas de voz a números aprobados por los padres, así como enviar alarmas y datos de ubicación a contactos específicos. Una aplicación separada le permite monitorear el uso del reloj y recibir alertas si el niño abandona un área geográfica determinada.

Aunque Xplora Mobile AS distribuye el reloj en Europa y Estados Unidos, el hardware está diseñado y fabricado por la mencionada empresa china Qihoo 360. También es responsable de crear 19 de las 90 aplicaciones de Android preinstaladas para estos dispositivos.

“La puerta trasera en sí no es una vulnerabilidad”, escriben los investigadores. “Este es un conjunto de funciones diseñadas deliberadamente con los nombres correspondientes. Le permiten de forma remota informar una ubicación y organizar una escucha telefónica. La puerta trasera se activa enviando comandos vía SMS al reloj ”, dice Mnemonic.

Los investigadores creen que los relojes inteligentes se pueden usar para tomar fotos, rastrear la ubicación del usuario y escuchar llamadas telefónicas. Los nombres de funciones parlantes mencionados son WIRETAP_INCOMING, WIRETAP_BY_CALL_BACK, COMMAND_LOG_UPLOAD, REMOTE_SNAPSHOT y SEND_SMS_LOCATION.

Los expertos no afirman que tal observación haya tenido lugar realmente. El hecho es que para un ataque exitoso, necesita saber no solo el número de teléfono (SIM incorporada), sino también la clave de cifrado única. Al mismo tiempo, se enfatiza que estos datos están disponibles para los desarrolladores de Qihoo 360 y Xplora. También se pueden extraer físicamente de los dispositivos mediante herramientas especiales.

Un reloj Xplora con dispositivo que saca las claves únicas de cifrado
Una de las dichas herramientas para extraer códigos de cifrado

Puerta trasera en relojes inteligentes, o un fallo?

Los investigadores temen que se relacione con el hecho de que el anterior Qihoo 360 se incluyó en la  lista de sanciones del Departamento de Comercio de EE. UU. Creen que el gobierno chino puede haber obligado a la empresa a participar en “actividades contrarias a los intereses de la seguridad nacional o la política exterior de Estados Unidos”. Es decir, teóricamente, las autoridades chinas pueden exigir activar las puertas traseras ocultas en el reloj.

Los reporteros del Register citan un comentario de los representantes de Xplora que afirman que el problema estaba asociado con los restos del prototipo olvidado en el código. Al parecer, durante el desarrollo del dispositivo, los padres dijeron que les gustaría poder comunicarse con sus hijos en caso de emergencia, así como recibir datos de ubicación en caso de secuestro. Posteriormente, decidieron no implementar esta funcionalidad en la versión comercial de los dispositivos por motivos de privacidad.

Xplora también enfatizó que el problema ya se ha solucionado: a fines de la semana pasada, se lanzó un parche correspondiente para el reloj.

“Es importante tener en cuenta que la vulnerabilidad potencial requiere acceso físico al reloj X4 y [conocer] el número de teléfono”, dice un portavoz de Xplora. – Incluso si esta funcionalidad está activada, el único lugar donde se ubicarán los datos son los servidores de Xplora en Alemania, ubicados en un entorno de Amazon Web Services altamente seguro que no es accesible para terceros. Solo dos empleados de Xplora tienen acceso a la base de datos. Es segura y ahí se almacena la información del cliente, y el acceso a esa base de datos se rastrea y registra cuidadosament “.