Se ha demostrado que otro producto de Internet de las cosas (IoT) diseñado para niños está plagado de agujeros de privacidad.
Esta vez, se trata de una tableta llamada LeapPad Ultimate que se ha descubierto que tenía problemas que permitían rastrear las ubicaciones físicas de los niños, enviarles mensajes o lanzar ataques de hombre en el medio (MitM) con los que podrían haber capturado información confidencial, incluidos los datos de la tarjeta de crédito de los padres.
Terrorífico, pero la noticia tiene un lado positivo: el vendedor, LeapFrog, se ha tomado en serio los problemas y ha reaccionado de una manera adecuada. Ahora todo lo que queda es que los padres eliminen una aplicación de chat (Pet Chat) de las tabletas más antiguas, es decir en dispositivos de más de tres años. En junio de 2019, LeapFrog confirmó que ya lo había hecho en las nuevas tabletas que se venden en las tiendas.
La noticia sobre LeapFrog se dio a conocer en el Black Hat 2019 el miércoles por la compañía de pruebas de seguridad de aplicaciones Checkmarx.
Una cosita robusta pero con agujeros en su corazón
Como Checkmarx describió la tableta en un informe emitido el miércoles, el LeapPad es, en muchos sentidos, un primer dispositivo perfecto para los niños: es resistente, no requiere Wi-Fi y puede entretener a los niños en las salas de espera o en viajes largos en coche con sus aplicaciones educativas, todo sin dejar que los pollitos deambulen libremente por la salvaje selva de internet.
Un Kindle o iPad ciertamente ofrecen muchas aplicaciones, e incluso algunas restricciones de acceso, pero generalmente no proporciona el tipo de aislamiento de Internet que muchos padres desean para sus hijos pequeños.
Sin embargo, después de que Checkmarx probara la tableta LeapPad Ultimate, descubrió que la tableta que tenía problemas de seguridad.
El problema: Pet Chat. La aplicación permite a los usuarios hablar entre ellos en una sala de chat, utilizando avatares de mascotas y algunas frases y emoticones preestablecidos. Los usuarios solo pueden comunicarse con esas frases. Entonces, ¿dónde está el daño?
Bueno, gracias a un directorio llamado Wireless Geographic Logging Engine (WiGLE), un sitio web que recopila hotspots inalámbricos en todo el mundo, que consolida la ubicación y la información en una base de datos central, es un juego de niños encontrar ubicaciones de niños usando la aplicación Pet Chat. Checkmarx dice que eso se debe a que Pet Chat crea una conexión Wi-Fi Ad-Hoc que transmite a otros dispositivos compatibles cercanos utilizando el SSID: PetChat.
Por lo tanto, cualquiera puede identificar posibles ubicaciones de LeapPads a través de Pet Chat, encontrándolas en una red Wi-Fi pública o rastreando la dirección MAC de su dispositivo.
Desafortunadamente, antes de que LeapFrog buscara una solución, Pet Chat no requería autenticación entre el dispositivo de un padre y el dispositivo de un niño. Cualquier persona dentro del alcance (30 metros) podría enviar un mensaje al dispositivo de un niño.
Ataques MitM
Otro problema que encontraron los investigadores fue que el tráfico saliente de una tableta LeapPad no estaba encriptado con HTTPS. Las tabletas enviaban mensajes en texto sin cifrar usando el protocolo HTTP. Eso deja el tráfico saliente vulnerable a los ataques MitM.
¿De qué tipo de tráfico estamos hablando? Datos altamente confidenciales, que incluyen:
- Información de la tarjeta de crédito: Marca de la tarjeta (Visa, MasterCard, etc.), nombre en la tarjeta, número de tarjeta de crédito, fecha de vencimiento, dirección de facturación y número de teléfono
- Información de los padres: correo electrónico, nombre, saldo de cuenta y dirección
- Información del niño: nombre, sexo, año de nacimiento y mes de nacimiento
Si bien a los números de las tarjetas de crédito les faltaban seis dígitos, otro agujero de seguridad significaba que los atacantes podían obtener esos dígitos mediante la creación de un portal convincente similar.
Ataques de phishing del portal LeapSearch
Otra aplicación en la tableta, un navegador web “seguro para niños” llamado LeapSearch que solo proporciona acceso a contenido web seguro, también demostró ser vulnerable a los ataques MitM. En este caso, los investigadores lograron modificar el contenido de esa aplicación de “web segura” para crear lo que llamaron una “versión de phishing” del portal.
Parecía perfectamente legítimo, pero los investigadores lo configuraron para solicitar a los usuarios información adicional, como completar los seis dígitos faltantes de la tarjeta de crédito en el archivo.
Un modelo de respuesta adecuada
LeapFrog reaccionó adecuadamente al problema. Respondió completa y rápidamente. Checkmarx envió su informe completo al proveedor el 29 de diciembre de 2018, estuvo en una conferencia telefónica unas dos semanas después con los ingenieros y gerentes de producto de LeapFrog (quienes hicieron las preguntas correctas en busca de más detalles para poder reproducir los problemas), y lanzó la primera ola de soluciones antes del 1 de febrero de 2019.
Para el 21 de abril de 2019, LeapFrog le dijo a Checkmarx que también había eliminado “frases potencialmente problemáticas” de Pet Chat. Para el 27 de junio de 2019, la problemática aplicación Pet Chat había desaparecido de las tabletas en las tiendas.
Ese tipo de respuesta es extremadamente alentador. Hay demasiados proveedores que fabrican tecnología que no se toman en serio la privacidad de los niños, lo que permite a los adultos contactar a los niños. A menudo, incurren en multas importantes. TikTok nos viene a la mente: la adictiva aplicación para compartir vídeos para niños fue castigada con la multa más grande en los Estados Unidos por violar la ley de privacidad infantil. Luego, el Reino Unido lanzó su propia investigación. Toda esta acción se produjo después de que la Comisión Federal de Comercio señaló que la empresa matriz de TikTok era plenamente consciente de que “un porcentaje significativo de usuarios eran menores de 13 años” y que “había recibido miles de quejas de los padres que sus hijos menores de 13 años habían creado […] cuentas “.
A pesar de las quejas, el presidente de la FTC, Joe Simons, dijo que la compañía “todavía no había solicitado el consentimiento de los padres antes de recopilar nombres, direcciones de correo electrónico y otra información personal de usuarios menores de 13 años”.
Lamentablemente, TikTok no es el único. También estaba My Friend Cayla, una muñeca que habla / escucha con Bluetooth que se ha metido en problemas varias veces: el Bundesnetzagentur de Alemania, el perro guardián de las telecomunicaciones, llamó a Cayla un “aparato de espionaje ilegal” que los padres deberían destruir. Luego, Francia dijo que el IoT, Cayla inteligente e interactivo, era demasiado ruidoso y espía para ponerlo debajo del árbol de Navidad.
He aquí un deseo: que todos los vendedores de juguetes de IoT miren a LeapFrog y saquen algunas conclusiones sobre cómo escuchar y responder con prontitud a los informes sobre agujeros de seguridad en sus productos.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario