Existen multitud de comodidades relacionadas con el uso de Internet en nuestro día a día, pero también debemos ir asimilando que cuando algo se puede conectar a la red, es susceptible de ser hackeado.
Y un ejemplo de eso son los juguetes sexuales. Efectivamente, los nuevos juguetes sexuales inteligentes que funcionan asociados a apps y permiten comunicar con otros a través de la red, pueden ser vulnerables al ataque de piratas informáticos.
El problema no es que alguien vaya a hackear tu dildo en pleno uso (¡que también!), teniendo el control de las velocidades e intensidades durante esos momentos de placer, sino el potencial acceso a la esfera privada de la persona, espiando sus prácticas o recavando información sobre su persona.
Pues eso mismo es lo que ha hecho Pen Test Partners, una empresa de seguridad informática: ha conseguido hackear un dildo conocido como Svakom Siime Eye, un vibrador con una cámara integrada (lo que podríamos llamar un vibrador-endoscopio), valorado en 230€, para poder ver el interior del cuerpo humano mientras se esta utilizando en directo. Vamos a ver algunos de los hallazgos, que son desarrollados en detalle enel post original.
Viendo el grado de intimidad que posee este juguete sexual, se debería suponer que tendría un nivel aceptable de seguridad, sin embargo adivinar la contraseña de acceso no les resultó excesivamente complicado: ‘88888888’. Con esta falta de seguridad, cualquiera dentro del alcance podría fácilmente aprovechar esta vulnerabilidad para acceder al vídeo que captura dicho juguete y emitirlo en lugares públicos en la red e incluso obtener acceso de administrador a su servidor web y obtener el control total del dispositivo. Por si eso no fuese suficiente, el pentester Beau du Jour, realizando ingeniería inversa del firmware, encontró la manera de conseguir la persistencia en el dispositivo, lo que significa que sería posible conectarse a él incluso fuera del rango de la red Wi-Fi.
Viendo un poco más en profundidad el estudio del pentester, observó que el vibrador se utiliza con una aplicación de iPhone o Android, que hace posible conectarse a su AP (SSID “Siime Eye”) con la contraseña por defecto (“88888888”). La aplicación en sí puede ver el flujo de vídeo en vivo, tomar fotos o vídeos y guardarlos en su dispositivo, todo lo que cabría esperar de una cámara/vibrador.
Ilustración 1: Aplicación Android
Las bibliotecas marcadas en la imagen anterior son muy similares a las utilizadas en drones. Los chicos de Sky Viper (que hacen cámaras de aviones no tripulados) estaban muy sorprendidos al encontrar su marca en el código de la aplicación móvil de un consolador. Sospechan que la primera versión de la aplicación fue escrita por los mismos que escriben el código del consolador.
Pero eso no es todo lo que pudo sacar de la aplicación. La fuente “com.SiimeEye” incluye algunas credenciales no modificables, además de una dirección IP no modificable y el puerto.
Ilustración 2: Cuenta admin con contraseña en blanco
Para conectar el dildo con un ordenador portátil, solo es necesario conectar al servidor en la IP 192.168.1.1:80, donde aparecerá un cuadro de autenticación.
Ilustración 3: Cuadro de autenticación
Como hemos visto anteriormente el usuario admin tenia la contraseña en blanco, por lo que el acceso no será muy complicado. Una vez dentro, se pueden hacer muchas más cosas aparte de las que la aplicación móvil nos permite hacer, y se recomienda echar un vistazo al post del pentester, que contiene muchos más detalles que ponen los pelos de punta.
Este es un ejemplo más de que cada día aparecen nuevos dispositivos conectados a Internet para proporcionarnos más funcionalidades. ¿Es esto malo? No lo creo, pero sin embargo, sí que hay que pensar más en la seguridad de estos dispositivos, que en lugar de ofrecer nuevas facilidades pueden convertirse en una pesadilla.
Tampoco hay que olvidar que no solo los piratas informáticos maliciosos son capaces de abusar de las funcionalidades de este tipo de juguetes. El mes pasado, We-Vibe, otro fabricante de juguetes sexuales inteligente, fue condenado a pagar a los clientes 4 millones de dolares después de que se demostrará que la empresa almacenaba estadísticas del uso de los propietarios sin su conocimiento.
Así que, si dispones de uno de estos juguetes sexuales y se puede conectar a Internet, es mejor que cambies la clave e investigues un poco, no sea que estés mostrando al mundo de ti más de lo que piensas…