Vibradores conectados: funciones innecesarias que ponen en riesgo la privacidad

EPNOTICIA07.04.2017 - 18:25h
  • Existen aplicaciones que conectan estos juguetes sexuales al teléfono para compartir experiencias con otros usuarios.
  • Una de ellas fue denunciada porque almacenaba en los servidores de la empresa conversaciones de chat, voz y videollamadas.
  • Ahora las miradas se dirigen a otra aplicación que incluye cámara web y que puede ser hackeada con facilidad.
Imagen de un móvil con una aplicación para el vibrador.
Imagen de un móvil con una aplicación para el vibrador.
STANDARD INNOVATION
Imagen de un móvil con una aplicación para el vibrador.

Uno de los temas más curiosos relacionado con la seguridad en el internet de las cosas es el de los vibradores que se conectan a nuestro 'smartphone' para controlar su funcionamiento y compartir experiencias con otros usuarios, y que están demostrando no tener las medidas de seguridad necesarias para proteger la privacidad de los usuarios.

Defcon, donde se presentaron varias vulnerabilidades en el vibrador We Vibe 4 Plus, de Standard Innovation, en agosto del año pasado, se pudo comprobar que incluir esas funcionalidades puede que no sea la mejor idea. Sin embargo, otra empresa que también fabrica este tipo de juguetes sexuales ha ido más allá y, como apuntan desde ESET, han vuelto a aparecer los problemas.

El modelo que tanto revuelo causó el año pasado de la empresa Standar Innovation incorporaba la posibilidad de conectarlo a nuestro 'smartphone' para gestionar desde ahí y mediante una aplicación su funcionamiento. Lo que el fabricante no dijo a sus usuarios es que la información sobre el uso de este dispositivo era almacenada en sus servidores, información que incluía aquellas conversaciones de chat, voz y videollamadas, realizadas entre los usuarios.

Esto le costó tener que ir a juicio y, finalmente, tener que pagar una multa cercana a los cuatro millones de dólares, algo a lo que ahora se expone otro fabricante, de nombre Svakom y cuyo vibrador Siime Eye incorpora, además de la conectividad con ordenadores, 'smartphones' y tabletas, iluminación con bombillas LED y una cámara web.

Este dispositivo también crea su propio punto de acceso WiFi, por lo que, como alertan desde la compañía de seguridad, cualquiera con malas intenciones que esté al alcance de la red generada por este vibrador podría, por ejemplo, visualizar las imágenes obtenidas mediante la cámara web solamente instalándose la aplicación móvil utilizada para gestionar el dispositivo.

Desde ESET explican que esto sería un problema relativamente pequeño si no fuera por la pobre seguridad instalada y que un grupo de investigadores de la empresa Pen Ten Partners ha desvelado recientemente. Para empezar, este dispositivo genera una red WiFi con el SSID 'Siime Eye', red que viene con la contraseña por defecto '88888888'.

Este vibrador también dispone de un panel de administración web accesible en la dirección local 192.168.1.1:80, donde, de nuevo, se encuentran unas pobres medidas deseguridad, usando 'admin' como usuario y dejando la contraseña en blanco.

Como dato curioso, en ESET señalan que al revisar la aplicación móvil que controla algunas funciones del vibrador, los investigadores encontraron algunas librerías que, aparentemente, estaban pensadas para el manejo de drones. Concretamente, las librerías que hacen referencia a Sky Viper pertenecen a un fabricante de cámaras para drones que, al ser contactados por los investigadores, se sorprendieron de ver su código en un dispositivo de este tipo.

Posibles ataques

Con todas estas funcionalidades no es de extrañar que se piense en los posibles ataques que pueden afectar a la privacidad del usuario. Si, por ejemplo, un atacante escribiera un programa que permitiera detectarlos conectándose a ellos mientras circula por una ciudad, sería capaz de saber dónde están sus usuarios y podría intentar acceder al dispositivo de forma ilegal.

No hace falta moverse de casa para saber dónde pueden estar ubicados estos dispositivos, puesto que utilizando servicios como wigle.net podemos buscar redes WiFi por su SSID. El principal problema es que este identificador de la red WiFi generada por el vibrador es estática y no puede cambiarse. Así pues, el simple hecho de identificar a un usuario en posesión de este tipo de dispositivos puede provocarle graves problemas, especialmente si reside en un país que prohíbe el uso de estos dispositivos.

Lo que si pueden hacer los usuarios es cambiar la contraseña por defecto con la que vienen estos dispositivos por una más segura. De esta forma se evitaría que un atacante pudiese acceder a la cámara y obtuviese imágenes privadas del usuario utilizando este vibrador y se evitarían casos de chantajes provocados por el robo de este tipo de contenidos.

Existen, además, funcionalidades ocultas en el código que no se activaron en el producto pero que podría permitir a un atacante enviar el contenido generado por la cámara a varias cuentas de Skype o direcciones de correo electrónico.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.