Un investigador de seguridad de Rusia fue capaz de hackear su propia pulsera inteligente de una manera relativamentefácil (bueno, fácil para un programador).
Roman Unuchek, un experto en amenazas móviles deKaspersky Lab, construyó una aplicación que conecta con docenas de dispositivos en el área y subrepticiamentehackeó su propia pulsera. No quiso divulgar qué tipo de dispositivo era.
Las pulseras inteligentes son generalmente consideradas como los "más tontos" de los wearables. Incluyen Jawbones,Fitbits, Nike Fuel Bands, y muchos otros que no tienen pantalla pero que dan seguimiento a los movimientos y otros datos biométricos.
Su adopción ha aumentado rápidamente; la firma Nielsen predice que un tercio de todos los consumidores adultos de Estados Unidos será propietario de alguna forma de un dispositivo portátil para el año 2017. Así que este descubrimiento de vulnerabilidad puede ser una llamada de atención a las empresas construyendo sus programas de wearables.
Hackear una pulsera de fitness generalmente consta de dos partes:
- Búsqueda y conexión a la pulsera (la parte fácil).
- Ganar autenticación, es decir, la suplantación de la identidad del usuario actual, desde la aplicación principal en el smartphone del usuario (más difícil).
La mayoría de los wearables se conectan mediante tecnología Bluetooth LE, un protocolo de baja potencia bastante común. Debido a que estos dispositivos no tienen pantallas, no requieren contraseñas para conectarse. Esto hace que sea fácil obtener una conexión instantánea desde la aplicación de piratería.
Unuchek puso a prueba su nueva aplicación de escaneo portátil en la calle y se conectó a 54 dispositivos en seis horas. Después de una hora en el gimnasio, conectó 25 dispositivos individuales. Mientras viajaba en el metro por dos horas, se encontró con otras 19 personas.
La autenticación resultó ser un poco más difícil. Si una pulsera ya está conectado con un teléfono inteligente, la única manera para que se comunique con otra aplicación es que esta nueva aplicación reciba permiso. Esto requiere un poco de codificación, así como astutamente obtener el consentimiento del usuario del dispositivo para la conexión de la aplicación.
La pulsera de Unuchek buscó la autenticación mediante el envío de una vibración. Todo lo que tenía que hacer era pulsar el único botón en su brazalete para completar la autenticación. Si un hacker del mundo real continuara tratando de conectar con el dispositivo, y el usuario siguiera recibiendo vibraciones fantasmas en su brazo, probablemente pulsaría el botón en un intento de acabar con las vibraciones.
Como explicó Unuchek, "No es difícil hacer que el usuario pulse un botón en la pulsera. Sólo tienes que ser persistente. Puede seguir intentándolo proceso de autenticación y otra vez hasta que el usuario finalmente presione el botón o se mueva fuera de rango".
Por supuesto, no se puede hacer mucho con una pulsera inteligente hackeada. Los datos de estos dispositivos hacen un seguimiento relativamente benigno. El hacker puede saber cuántos pasos que el usuario hizo, o qué tan bueno es su ciclo de sueño.
Cualesquiera que sean las posibilidades con estos datos, Unuchek puso en evidencia unavulnerabilidad real en las nuevas tecnologías conectadas que vale tener en cuenta antes de comprarse un dispositivo similar.
0 Comentarios