Sexo en la era digital: ¿Qué tan seguros son los juguetes sexuales inteligentes?


Los investigadores de ESET investigan lo que podría salir mal cuando conecta su habitación al Internet de las cosas

A medida que los dispositivos de Internet de las cosas (IoT) continúan infiltrándose en nuestros hogares y ofrecen una gama cada vez más amplia de funciones, comienzan a surgir nuevas preocupaciones sobre la seguridad de los datos procesados ​​por estos dispositivos. Aunque han estado sujetos a innumerables violaciones de seguridad que llevaron a la exposición de los detalles de inicio de sesión de las personas, la información financiera y la ubicación geográfica, entre otros, hay pocos tipos de datos con más potencial de dañar a los usuarios que los relacionados con sus preferencias y comportamiento sexual. .

Con nuevos modelos de juguetes sexuales inteligentes entrando en el mercado todo el tiempo, podríamos pensar que se está avanzando en el fortalecimiento de los mecanismos que aseguran las buenas prácticas en el procesamiento de la información de los usuarios. Sin embargo, nuestra investigación reveló interesantes fallas de seguridad derivadas tanto de la implementación de las aplicaciones que controlan los dispositivos como del diseño de estos dispositivos, afectando el almacenamiento y procesamiento de la información. Hoy, estos hallazgos son más relevantes que nunca, ya que estamos viendo una rápido aumento en las ventas de juguetes sexuales como reflejo de la situación actual en el mundo y las medidas de distanciamiento social relacionadas con COVID-19.

Como ocurre con cualquier otro dispositivo de IoT, existen ciertas amenazas a la privacidad al usar juguetes para adultos habilitados para Internet. Las vulnerabilidades podrían permitir a los atacantes ejecutar código malicioso en el dispositivo o bloquearlo evitando que el usuario envíe cualquier comando al juguete. De hecho, ya hemos visto escenarios de casos reales que involucran ataques similares, como los investigadores han encontrado ransomware destinado a bloquear cinturones de castidad vulnerables mientras los dispositivos están en uso y exigen que las víctimas paguen un rescate para desbloquear los artilugios y liberarse.

Características de los juguetes sexuales inteligentes.

Hoy en día, los juguetes sexuales inteligentes exhiben muchas características: control remoto a través de Internet, chats grupales, mensajes multimedia, videoconferencias, sincronización con canciones o audiolibros, y la capacidad de conectarse con asistentes inteligentes, por nombrar algunos. Algunos modelos pueden sincronizarse para replicar sus movimientos y otros son wearables.

En términos de arquitectura, la mayoría de estos dispositivos se pueden controlar a través de Bluetooth Low Energy (BLE) desde una aplicación instalada en un teléfono inteligente. La aplicación es responsable de configurar las opciones en el dispositivo y controlar el proceso de autenticación del usuario. Para hacerlo, se conecta a un servidor en la nube, que almacena la información de la cuenta de la persona. En algunos casos, este servicio en la nube también actúa como intermediario entre socios que utilizan funciones como chat, videoconferencia y transferencia de archivos, o incluso ceden el control remoto de sus dispositivos a un socio.

Figura 1. Arquitectura de un juguete sexual inteligente

Esta arquitectura presenta varios puntos débiles que podrían usarse para comprometer la seguridad de los datos que se procesan: Interceptar la comunicación local entre la aplicación de control y el dispositivo, entre la aplicación y la nube, entre el teléfono remoto y la nube, o atacar directamente. el servicio basado en la nube. A pesar de que ya han sido sometidos al escrutinio de muchos investigadores de seguridad ((1), (2), (3), (4), entre otros), nuestra investigación demostró que estos dispositivos continúan teniendo fallas de seguridad que podrían amenazar la seguridad de los datos almacenados, así como la privacidad e incluso la seguridad del usuario.

¿Por qué la seguridad es tan crítica cuando se trata de juguetes sexuales?

Como se puede imaginar, la sensibilidad de la información procesada por los juguetes sexuales es extremadamente crítica: nombres, orientación sexual o de género, listas de parejas sexuales, información sobre el uso de dispositivos, fotos y videos íntimos; toda esta información puede tener consecuencias desastrosas si caen en manos equivocadas. Nuevas formas de sextorsión aparecen en el radar si consideramos el material íntimo accesible a través de las aplicaciones que controlan estos dispositivos.

Además de las preocupaciones sobre la privacidad, los juguetes sexuales inteligentes tampoco están exentos de la posibilidad de que los ciberatacantes los pongan en peligro. Con respecto a las vulnerabilidades en la aplicación de control de un juguete sexual, un atacante podría tomar el control del juguete y provocar ataques DoS (denegación de servicio) que bloquean la entrega de cualquier comando, o un dispositivo que está armado para llevar a cabo acciones maliciosas y propagar malware. , o incluso un dispositivo modificado deliberadamente para causar daño físico al usuario, como por sobrecalentamiento.

Y finalmente, ¿cuáles son las consecuencias de que alguien pueda tomar el control de un dispositivo sexual sin consentimiento, mientras se está utilizando, y enviar diferentes comandos al dispositivo? ¿Es un ataque a un dispositivo sexual abuso sexual y podría incluso dar lugar a un cargo de agresión sexual?

Evaluación de seguridad de dos dispositivos populares

El propósito de esta investigación fue determinar el nivel de seguridad en las aplicaciones de Android creadas para controlar los modelos más populares vendidos por las principales marcas de dispositivos de placer sexual y así establecer en qué medida garantizan la confidencialidad de los datos de sus usuarios. El análisis se basa en dos modelos: Max por Lovense y We-Vibe Jerga.

Las siguientes secciones detallan algunos de los problemas de seguridad que encontramos para cada aplicación y dispositivo. Ambos desarrolladores recibieron un informe detallado de las vulnerabilidades y sugerencias sobre cómo solucionarlas. En el momento de la publicación de este artículo, se han abordado todas las vulnerabilidades. Nos gustaría agradecer a WOW Tech Group y Lovense por su cooperación en el tratamiento de los problemas informados.

Conexión Bluetooth (BLE)

Dado que en este protocolo el dispositivo periférico debe anunciar continuamente su conexión para que el usuario pueda conectarse a él, cualquier persona puede usar un simple escáner Bluetooth para encontrar estos dispositivos cerca.

Figura 2. Descubrimiento de juguetes sexuales disponibles en las inmediaciones, a través de un escáner Bluetooth

La Figura 2 muestra la facilidad con la que se pueden encontrar estos dispositivos con un escáner Bluetooth móvil. En el escáner podemos ver tanto Jive como Max e información detallada. Jive se anuncia con el nombre de su modelo, lo que lo hace muy fácil de identificar. Además, la potencia de su señal es de -69 dBm. A medida que el escáner se acerca al dispositivo, este nivel de potencia aumentará, lo que permitirá localizar a su propietario.

Tanto Jive como Max se emparejan mediante el método "Just Works", que es el menos seguro de todos los métodos de emparejamiento BLE. En este método, la clave temporal utilizada por los dispositivos durante la segunda etapa del emparejamiento se establece en 0, y los dispositivos generan el valor de la clave a corto plazo sobre esta base. Este método está ampliamente abierto a ataques man-in-the-middle (MitM), ya que cualquier dispositivo puede conectarse utilizando 0 como clave temporal. En términos prácticos, esto significa que Jive y Max se vincularán automáticamente con cualquier teléfono móvil, tableta o computadora que lo solicite, sin realizar ninguna verificación o autenticación.

En la siguiente prueba de concepto, el BtleJuice framework y dos dongles BLE se utilizaron para replicar un ataque MitM entre un usuario y el Jive. En este escenario simulado, un atacante primero toma el control de un Jive, al que se puede conectar directamente debido a su falta de autenticación, y luego anuncia un dispositivo Jive ficticio, que se configura en función de la información que anunció el Jive original. Luego, cuando el usuario decide conectarse al juguete, el dispositivo del usuario realmente se conecta al dispositivo falso anunciado por el atacante. El atacante puede entonces, a través de la interfaz web de BtleJuice, capturar todos los paquetes enviados por el usuario y destinados al juguete y así obtener información sobre los modos de uso, intensidad de vibración, etc. El atacante también puede editar los comandos interceptados, cambiar el modo o la intensidad de la vibración o generar sus propios comandos y enviarlos al juguete, incluso si el usuario no está interactuando con él.

En el caso del dispositivo Jive, estos riesgos se incrementan debido a que es un wearable, diseñado para que el usuario pueda usarlo durante su día, en restaurantes, fiestas, hoteles o en cualquier otro público. localización.

(incrustar) https://www.youtube.com/watch?v=1o-qE0au1hg (/ incrustar)

Control remoto Lovense a través de la fuerza bruta de tokens

La lista de opciones de la aplicación Lovense para sus funciones de control remoto incluye la opción de generar una URL en el formato https://api2.lovense.com/c/, dónde es una combinación de cuatro caracteres alfanuméricos. Esto permite a los usuarios remotos controlar el dispositivo simplemente ingresando la URL en sus navegadores.

Sorprendentemente para un token tan corto con relativamente pocas combinaciones posibles (1.679.616 tokens posibles en una aplicación con más de un millón de descargas), el servidor no tiene ninguna protección contra ataques de fuerza bruta.

Cuando se realiza una consulta utilizando un token inexistente, el servidor redirige a / redireccionar y devuelve el mensaje JSON "Resultado": verdadero, "código": 404, "mensaje": "Página no encontrada". Sin embargo, si el token es válido, el servidor redirige a otra URL en el formato https: // (aplicaciones | api2) .lovense.com / app / ws / play /, que a su vez redirige a https: // (aplicaciones | api2) .lovense.com / app / ws2 / play /, dónde es el ID de sesión: una cadena similar a MD5 que identifica al usuario y el ID del dispositivo para el que fue creado. Un token caduca cuando se agota su límite de tiempo (presumiblemente 30 minutos) o cuando alguien visita la URL final después de pasar por todo el proceso de redireccionamiento. Sin embargo, algunos tokens permanecieron activos después de la media hora, incluso durante días.

Dado que es posible distinguir entre tokens válidos, tokens activos y tokens caducados, según la respuesta del servidor, creamos una prueba de concepto para encontrar tokens válidos por fuerza bruta. En el video, primero enumeramos docenas de tokens: creamos algunos de ellos con nuestro dispositivo y luego agregamos otros tokens aleatorios. La mayoría de los tokens generados por nuestro dispositivo ya habían expirado, pero uno aún estaba activo. Luego programamos un script Python simple y lo usamos contra este conjunto de tokens. Cuando este script encuentra un token válido, abre la URL final en el navegador y verifica si la sesión ha expirado con la ayuda de una extensión de Chrome que diseñamos para el propósito de esta investigación. Si se encuentra que la sesión está activa, envía un mensaje a través de un bot de Telegram a la cuenta especificada, notificándole el nuevo panel de control encontrado. Grabamos un video de prueba de concepto, disponible aquí:

(incrustar) https://www.youtube.com/watch?v=5lWSaJC3WWU (/ incrustar)

Trabajando junto con el proveedor, pudimos confirmar que era posible encontrar tokens de usuarios aleatorios usando la fuerza bruta. Esta es una vulnerabilidad extremadamente grave, ya que permite a un atacante realizar fácilmente el secuestro remoto de dispositivos que esperan conexiones a través de tokens activos, sin el consentimiento o conocimiento del usuario.

Otras preocupaciones de privacidad

Respecto a las aplicaciones que controlan estos juguetes (Lovense Remote y Nos conectamos), se encontraron algunas opciones de diseño controvertidas que pueden amenazar la privacidad de los usuarios. Esto podría ser muy peligroso, ya que muchos usuarios otorgan el control de sus dispositivos a completos extraños al compartir sus tokens en línea, ya sea como preferencia personal o como parte de un servicio de "cam girl / boy".

En Lovense Remote, no había cifrado de extremo a extremo, las capturas de pantalla no estaban deshabilitadas, la opción "eliminar" en el chat en realidad no borraba los mensajes del teléfono remoto y los usuarios podían descargar y reenviar contenido de otros sin una advertencia. que se envía al creador del contenido. Además, cada dirección de correo electrónico se comparte entre todos los teléfonos involucrados en cada chat y se almacena en texto sin formato en muchas ubicaciones, como el archivo de preferencias compartido. wear_share_data.xml. Por lo tanto, los usuarios malintencionados podrían encontrar las direcciones de correo electrónico asociadas con cualquier nombre de usuario y viceversa.

Finalmente, Lovense Remote no implementa fijación de certificado para actualizaciones de firmware; y como las claves de descifrado se almacenan dentro del código de la aplicación, sería relativamente sencillo para un atacante crear un script para interceptar los paquetes y redirigir a la víctima a la URL maliciosa del atacante para descargar una actualización de firmware falsa.

En la aplicación We-Connect, los metadatos confidenciales no se eliminaban de los archivos antes de que se enviaran, lo que significa que los usuarios pueden haber estado enviando inadvertidamente información sobre sus dispositivos y su ubicación geográfica exacta cuando enviaban mensajes de texto con otros usuarios. Finalmente, el PIN de cuatro dígitos para acceder a la aplicación puede ser fácilmente forzado mediante el uso de un mal USB (prueba de concepto).

Conclusiones

Los juguetes sexuales inteligentes están ganando popularidad como parte del concepto de "sexnología": una combinación de sexo y tecnología. Los últimos avances en la industria incluyen modelos con capacidades de realidad virtual (VR) y robots sexuales impulsados ​​por inteligencia artificial que incluyen cámaras, micrófonos, así como capacidades de análisis de voz basadas en técnicas de inteligencia artificial. De hecho, se podría decir que la era de los juguetes sexuales inteligentes apenas está comenzando.

Al igual que con cualquier otro dispositivo de IoT, no existe una solución a prueba de balas para evaluar y asegurar los juguetes sexuales inteligentes. Dado que la protección de datos depende en gran medida de las mejores prácticas adoptadas por los usuarios finales, se convierte en una prioridad educar a los consumidores sobre los riesgos de seguridad y privacidad asociados con estos juguetes para adultos.

Además, las aplicaciones móviles como estas aplicaciones de control de juguetes sexuales inteligentes manejan información muy valiosa de sus usuarios. Es fundamental que los desarrolladores comprendan la importancia de dedicar el tiempo y el esfuerzo necesarios para diseñar y crear sistemas seguros, sin sucumbir a las presiones del mercado que priorizan la velocidad sobre la seguridad. Descuidar la configuración adecuada del entorno de producción en favor de una implementación rápida nunca debería ser una opción.

El libro blanco completo está disponible aquí:





Enlace a la noticia original