El internet de las cosas es también el internet de los juguetes sexuales. Tecnología y placer llevan unidos unos cuantos años en busca de nuevas experiencia, en la exploración de la sexualidad a través de nuevas posibilidades técnicas. Sin embargo, esta relación no está exenta de riesgos y un ejemplo capital lo tenemos en un vibrador conectado llamado Vibratissimo PantyBuster.
Investigadores de SEC Consult, una importante consultora de ciberseguridad alemana, llevan meses investigando este juguete sexual inteligente diseñado para permitir su control a distancia por parte de un tercero. Una persona que puede estar a los mandos del dispositivo tanto si está al lado de la persona que lo porta como si se encuentra al otro lado del mundo.
Un enlace "fácilmente" identificable para controlar cualquier vibrador a distancia
Esta característica funciona mediante un enlace. A través de la aplicación vinculada, quien porta el vibrador genera una URL con un identificador único que se envía por mensaje de texto o correo electrónico a la persona que va a poder tomar el control. Esta solo debe acceder al enlace y poner a funcionar el juguete a placer. El problema surge cuando la función puede ser explotada sencillamente.
[La función] no sería un problema en general si el enlace que contiene el ID único fuera lo suficientemente largo y aleatorio. [...] Desgraciadamente, este no es el caso. Los ID son un contador global, el cual se incrementa por uno cada vez que se crea un nuevo enlace. Un atacante puede adivinar esta identificación fácilmente y por lo tanto controlar el juguete sexual de la víctima directamente a través de Internet.
El proceso sería tan sencillo como generar una de estas URL desde la aplicación, fijarse en el ID, y comenzar a restar números para acceder a enlaces reales de usuarios del dispositivo sexual. Los investigadores creen que sería muy útil que la persona portadora del vibrador debiera confirmar el control a distancia antes de permitirse, pero este mecanismo no está implementado.
Sin embargo, los problemas no terminan aquí para el dispositivo ni para el fabricante. Otra vulnerabilidad permitía conexiones Bluetooth sin necesidad de emparejamiento, con lo que también se podía secuestrar el dispositivo estando próximo a él.
A esta vulnerabilidad se sumaba que el servicio en la nube del fabricante, donde se almacenan los datos de clientes con nombres de usuarios, contraseñas en texto plano, historiales de chat y sus propias galerías de imágenes explícitas, había quedado expuesto. Teniendo en cuenta las instalaciones de la aplicación para Android, entre 50.000 y 100.000, esa podría ser la cifra de potenciales afectados.
La comunicación de estas vulnerabilidades a los responsables a lo largo del mes de noviembre y diciembre, así como la divulgación hecha ayer, se coordinaron a través de la BSI, la agencia federal alemana encargada de administrar la ciberseguridad según ha confirmado el propio organismo a Genbeta. "La BSI hizo una evaluación de las vulnerabilidades reportadas y ha coordinado la comunicación entre SEC Consult y el fabricante", nos han explicado.
Mientras que los fallos relacionados con la nube, la base de datos de los usuarios y el emparejamiento no autentificado por Bluetooth ya se han solucionado, SEC Consult asegura que problemas como el del control remoto a distancia mediante enlace "facilmente" identificable continúan. Se corregirán, explican, entre finales de febrero y principios de marzo. Amor Gummiwaren, el fabricante del vibrador a la venta en su web y portales como Amazon, nos ha comunicado que se pronunciarán oficialmente sobre el asunto el próximo lunes.
En Xataka | Sí, tu juguete sexual puede estar enviando información de tu uso al fabricante
Ver 4 comentarios