La tecnología se ha metido en innumerables elementos de la vida cotidiana para mejorarlos y facilitar la experiencia de uso, y los juguetes no son la excepción. Pero desde su aparición, los dispositivos pertenecientes al IoT con capacidad de acceder a Internet han generado preocupaciones respecto a la seguridad, que en ocasiones es dejada de lado al momento de la fabricación.

Esto es lo que sucedió con la línea de peluches digitales Fisher-Price Smart Toy® y con el reloj GPS hereO. La firma Rapid7 encontró en ellos vulnerabilidades que podían dejar expuesta la identidad de los niños que los usaban; afortunadamente, ambas compañías solucionaron las fallas sin que se hayan explotado activamente.

Vulnerabilidad en peluches inteligentes

En el primer caso, los productos afectados fueron los animales de peluche de Fisher-Price cuya funcionalidad está optimizada para redes Wi-Fi. Son "amigos inteligentes" que acompañan a los niños a lo largo de su día en actividades variadas como cepillarse los dientes, leer cuentos o prepararse para dormir, mientras les hablan y van registrando sus gustos para desarrollar una mayor personalización.

Vienen acompañados de una aplicación móvil pensada para los padres, qe permite configurar las actividades del juguete, seleccionarle un nombre, jugar y demás.

smart-toy

Imagen tomada de smarttoy.com

Lo que descubrieron los investigadores fue que muchas de las llamadas a la API de la plataforma web no verificaban en forma apropiada el remitente de los mensajes, permitiendo que un potencial atacante enviara peticiones que normalmente no deberían ser autorizadas.

Esta vulnerabilidad se denominó CVE-2015-8269 y, básicamente, explotándola se podría haber accedido a los detalles de cada juguete como su nombre, modelo, tipo, y el perfil infantil asociado a él.

A su vez, los perfiles poseen el nombre, fecha de nacimiento, género, idioma y juguetes preferidos de los niños, entre otros datos como las compras hechas desde la aplicación, los paquetes de juegos adquiridos o los puntajes obtenidos.

Y si bien parte de esta información no es secreta, tal como dice la investigación, podría ser combinada con un perfil más completo de un niño para ejecutar campañas maliciosas o de Ingeniería Social.

Un reloj GPS que revela la ubicación a cualquiera

Por otro lado, se analizó al reloj hereO, un dispositivo de localización GPS en tiempo real pensado para niños a partir de 3 años. Está equipado con Wi-Fi, una tarjeta SIM y un conector USB, que permite a los padres obtener la ubicación de sus hijos en su smartphone mediante la aplicación hereO Family.

hereo

Imagen tomada de hereofamily.com

La vulnerabilidad hallada también está relacionada con la autorización en llamadas a la API, en los casos en que se enviaban invitaciones para formar parte del grupo familiar. Así, el potencial atacante lograría infiltrarse y que su solicitud sea aceptada, sin que nadie se entere.

Las pocas notificaciones que los usuarios legítimos recibirían de que se aceptó a un nuevo miembro también podían ser manipuladas, por lo que se podían reemplazar con mensajes como "Esta es una prueba, por favor ignórela" para que no se levanten sospechas.

En resumen, lo que permitía esta vulnerabilidad era que un atacante tuviera acceso a la ubicación de cada miembro de la familia.

La necesidad de seguridad en IoT

Si bien ambas fallas fueron solucionadas, es importante notar que no es la primera vez que juguetes inteligentes ocasionan posibles riesgos a la privacidad de los menores: el año pasado, supimos de la Barbie que graba conversaciones y las preoupaciones que generó la posibilidad de que los audios que registra sean enviados a terceras partes y compañías asociadas a Mattel.

Este es solo otro caso que nos demuestra la importancia de que los fabricantes de productos IoT, cualquiera sea la industria en la que operen, consideren la seguridad desde el momento cero.

Sigue leyendo: Amenazas en IoT y dispositivos que no imaginabas conectados