Búsqueda de Ciberamenazas

El teléfono retro con un DIAL REAL… además de muchos problemas de IoT

La imagen que ves arriba no sólo es un producto real de Fisher-Price, lanzado en la segunda década del siglo XXI sino que, además oficialmente NO ES UN JUGUETE.

Claro, parece un teléfono Chatter de juguete, con una apariencia externa que los adultos de todas las edades reconocerán, quizás por haber tenido, haber jugado , o al menos haber visto uno en la juguetería hace tantos años.

Incluso cuando llegó la era de los teléfonos móviles, el Chatter Phone conservó su dial (¡un dial real en forma de dial!), su estilo de teléfono tipo plato de queso y su receptor lateral.

Resulta fascinante que “mantener lo retro” haya formado parte de la telefonía desde que apareció la segunda generación de aparatos telefónicos en el siglo pasado.

Seguimos refiriéndonos al componente combinado de boquilla y altavoz como “receptor”, y hablamos de “sustituir el receptor”, mucho después de que el receptor dejara de ser un elemento independiente que sólo contenía un altavoz. (Originalmente, sólo se podía levantar y sustituir el receptor, porque la boquilla -el emisor- solía estar integrada en el cuerpo del propio instrumento).

Y seguimos poniendo el auricular “de nuevo en el gancho” para terminar una llamada mucho después de que los teléfonos tuvieran receptores o ganchos.

Hasta el día de hoy, “seguimos colgando” aunque los auriculares Bluetooth ya no tengan nada que colgar, y seguimos “marcando” las llamadas, aunque ahora usemos un “teclado” para hacerlo.

Por supuesto, no sólo ya no es un dial, sino que ni siquiera es un teclado hoy en día: suele ser una pantalla táctil sin teclas o botones reales.

Lo único que no se ha puesto de moda en la telefonía, y tal vez podamos estar agradecidos por ello, es el saludo telefónico preferido de Alexander Graham Bell: “¡Ahoy!”, aunque por lo que sabemos, una futura generación de tecnólogos piratas podría revivir este antiguo rito.

Esto no es un juguete

Volvemos al teléfono Chatter de Fisher-Price “NO ES UN JUGUETE” con Bluetooth.

En realidad no son para niños, lo cual está bien porque los adultos amantes de lo retro parecen haberlos comprado todos.

De hecho, si eres un aficionado a la tecnología y no habías oído hablar de este producto antes, sospechamos que secretamente quieres uno ahora, por [a] recuerdos de la infancia, [b] aspecto feliz/hippie/retro definitivo, el dial funciona de verdad, así que puedes llamar, ¡con un dial de verdad!

Pero ya sabes a dónde va esto, y probablemente puedas adivinar quién lo llevó allí: nuestros amigos de Pen Test Partners (PTP). PTP quería uno de estos teléfonos, así que decidieron pedirle a un amigo en EEUU que les comprasen uno (¡incluso él tuvo que esperar seis semanas!), y realizaron su investigación a distancia.

Elegantemente sencillo

El teléfono Chatter con Bluetooth es elegantemente sencillo: el dispositivo es básicamente un “auricular” con Bluetooth, con la capacidad añadida de aceptar entradas numéricas (además de los importantísimos símbolos de almohadilla/libra y estrella) a través del dial giratorio.

No sabemos cómo o si se puede marcar el símbolo más para las llamadas al extranjero, pero muchos países permiten utilizar una secuencia especial de dígitos en su lugar.

Así pues, el teléfono Chatter no lleva una tarjeta SIM; en su lugar, se empareja con un teléfono móvil normal y actúa, si se quiere, como una especie de extensión: un teléfono de extensión feliz, sonriente, alegre, de colores brillantes y con un dial giratorio real.

Sin embargo, a pesar de su funcionalidad minimalista, PTP descubrió que Fisher-Price había dejado mucho espacio para omitir el tipo de características de ciberseguridad que cabría esperar.

En particular, PTP descubrió que:

  1. El Chatter Phone no tiene seguridad de emparejamiento por Bluetooth. Por lo tanto, cualquiera que esté en el rango de un dispositivo no emparejado podría conectarlo a su teléfono en lugar del tuyo.
  2. Emparejar tu propio teléfono con el Chatter Phone no bloquea a otras personas. A pesar del fallo (1), cabría esperar que, una vez emparejado el dispositivo con el Chatter, fuera necesario reiniciarlo para poder volver a emparejarlo. Sin embargo, aparentemente, el simple hecho de sacar el teléfono móvil emparejado del alcance, como se suele hacer cada vez que sale de casa, por ejemplo, abre de nuevo el Chatter Phone a todo el mundo.
  3. El Chatter Phone puede actuar como un intercomunicador. Cuando está descolgado pero no hay una llamada, el dispositivo transmite el audio al teléfono móvil con el que está emparejado. Por lo tanto, un niño que juegue con el dispositivo podría terminar en una espeluznante conversación con alguien de fuera de la casa, o un Chatter que se haya dejado descolgado sin querer en el salón o en la oficina de casa podría convertirse en un dispositivo de escucha.
  4. El Chatter Phone responde automáticamente a las llamadas si se deja descolgado. En teoría, esto significa que si el Chatter está emparejado con tu propio teléfono móvil y bloqueado en él, cualquiera que llame a tu teléfono podría acabar espiando la habitación. Esto podría ocurrir más fácilmente de lo que crees, por ejemplo, si tu hijo no vuelve a colocar el auricular perfectamente después de hacer una llamada ficticia.

(Intenta decirles a tus hijos que el Chatter Phone NO ES UN JUGUETE, aunque sea exactamente igual que el que la abuela sacó del desván y que SÍ ES UN JUGUETE).

Como señala PTP, el problema del emparejamiento podría resolverse simplemente añadiendo un botón de “pulsar para emparejar” en el propio teléfono, de modo que se necesitara acceso físico al Chatter Phone para iniciar una conexión con él.

De este modo, el Chatter Phone no podría conectarse involuntariamente con un desconocido sólo porque el teléfono actualmente emparejado saliera del área (o se quedara sin batería, o tuviera el Bluetooth desactivado).

Y un simple tiempo de espera para apagar el Chatter Phone si el receptor permaneciera en “circuito abierto” cuando no estuviera haciendo ni recibiendo una llamada ayudaría seguramente con los otros problemas.

Si el Chatter Phone apagara su conexión de audio automáticamente cuando obviamente no estuviera en uso, y sólo se volviera a activar si el receptor se colocara deliberadamente en el gancho y luego se levantara de nuevo, probablemente te sentirías mucho más seguro contra las escuchas de audio accidentales (o deliberadas).

¿Qué hacer?

Si ya has comprado uno de estos curiosos juguetes, intenta acordarte de apagarlo cuando no lo estés usando.

Aunque eso contradice un poco el propósito, sospechamos que no querrás hacer o recibir todas tus llamadas en el Chatter Phone (puede que no sea realmente un juguete, pero ciertamente lo parece, y no podemos evitar suponer que la calidad de la voz lo hace sonar como tal).

Así que enciendelo sólo cuando quieras revivir tu infancia parece una simple precaución, al menos hasta que Fisher-Price saque una actualización del firmware, suponiendo que haya una forma de actualizarlo.