Parece claro que el Internet de las cosas es un tema que da para muchas investigaciones de lo más curiosas, sobre todo cuando hablamos de juguetes sexuales conectados a nuestro dispositivo móvil. Durante la pasada semana pudimos acudir a la charla ofrecida por la pareja de investigadores australianos g0ldfisk y follower, en la que se analizaron las vulnerabilidades de un vibrador y de los datos que transmite a través de la aplicación móvil usada para controlarlo.
We Vibe, un vibrador no tan inteligente
La investigación se centró en el dispositivo We Vibe 4 Plus, dispositivo fabricado por la empresa We Vibe que asegura contar con 2 millones de usuarios en todo el mundo. Para quien no sepa de qué estamos hablando, se trata de un vibrador que ayuda a incrementar el placer en las relaciones sexuales en pareja y que permite controlar alguno de sus parámetros conectándose a un smartphone.
Hasta no hace mucho tiempo, este tipo de dispositivos permanecían en la más profunda intimidad de las personas que los usaban, pero con la irrupción del Internet de las cosas esto ha cambiado, e incluso se permite que las parejas puedan enviarse estímulos sexuales aun estando separadas por miles de kilómetros.
Así pues, ¿que problemas nos puede acarrear un dispositivo de este tipo en el caso de que un atacante intente aprovecharse de sus vulnerabilidades? Bueno, la primera imagen que nos viene a la cabeza es que alguien lo controle remotamente sin el consentimiento del usuario mientras esté usándolo, aunque, como veremos a continuación, este puede ser el menor de nuestros problemas.
La cosa se pone caliente
Gracias a la sincronización con el smartphone, este tipo de vibradores pueden recibir y enviar información desde nuestros terminales, información que luego puede ser enviada al fabricante que la almacenará en sus servidores. Esto plantea un problema serio, puesto que, en caso de que se produzca un acceso no autorizado a estos servidores y se filtren los datos de los usuarios, estos podrían verse en un serio problema.
Imagen propiedad de we-vibe.com
Por si fuera poco, la aplicación móvil dispone de opciones de chat, conversaciones de voz y videollamadas para las comunicaciones entre usuarios, algo que, de ser interceptadas, podría poner aún más en peligro la privacidad de los usuarios. Para rematar esta orgía recopilatoria de información íntima, el vibrador mide la temperatura una vez por minuto y la intensidad en tiempo real, y también envía esta información a los servidores de la aplicación.
Además, ante un requerimiento judicial de las autoridades de un país, la empresa puede verse obligada a proporcionar toda esta información almacenada en sus servidores. No debemos olvidar que el uso de este tipo de dispositivos aún está prohibido en algunos países, e incluso en Estados Unidos el estado de Alabama no permite su uso.
Fallos en el uso de Bluetooth
Tanto si se utiliza el dispositivo desde un mando a distancia como si se hace desde la aplicación en un smartphone, el punto débil sigue siendo la comunicación que se realiza por Bluetooth. Gracias a la información que el fabricante envió a la Comisión Federal de Comunicaciones de los Estados Unidos, los investigadores comprobaron que se utilizaba un procesador Texas Instruments con un chip Bluetooth a 2.4ghz.
Analizando este procesador descubrieron que era realmente fácil interceptar las comunicaciones, puesto que no se hacían las comprobaciones básicas de seguridad. Así pues, el siguiente paso fue descifrar las cadenas de comandos enviadas al dispositivo, algo que los investigadores consideraron relativamente sencillo ya que los comandos solo utilizan 8 bits de longitud.
Para terminar de demostrar la vulnerabilidad de este dispositivo, los investigadores presentaron la herramienta Weevil Connect, pensada para “jugar” con aquellos dispositivos compatibles con el sistema utilizado por We Vibe. No hace falta decir que no es una buena idea tratar de hackear el vibrador de otra persona sin su permiso, debido a que el atacante podría incluso verse involucrado en un acto de abuso sexual.
Conclusión
Aunque esta charla ocasión más de una sonrisa entre los asistentes y los propios investigadores, el tema no es como para tomárselo a broma y puede afectar de forma muy seria a los usuarios de estos dispositivos. Nadie tiene por qué acceder a información tan privada como la que recopila este dispositivo y mucho menos utilizarla en contra del usuario.
Por eso mismo, los desarrolladores de este y otros juguetes sexuales deberían tomarse más en serio la seguridad de sus dispositivos y aprender de los hackers que muestran los agujeros de seguridad existentes para solucionarlos.