Los smartwatches MiSafes ya no están a la venta por fuertes vulnerabilidades de hackeo
MiSafes es un fabricante chino de relojes inteligentes, así como de otros dispositivos de vigilancia, que enfoca su mercado en los niños. Tras lanzar un smartwatch para niños y ponerlo a la venta, ahora ya no se encuentran disponibles a la venta debido a que sufre graves problemas de vulnerabilidad: los hackers pueden acceder a él.
De acuerdo a lo que Pen Test Partners ha descubierto, los atacantes pueden escuchar fácilmente las conversaciones de los niños portadores del smartwatch MiSafes y rastrearlos con la función geofencing para que los padres no reciban avisos cuando sus hijos se alejen. Además, también pueden ver nombres, géneros, cumpleaños, alturas y pesos de los niños; así como los números de teléfono de los padres y el número de teléfono que está asignado a la tarjeta SIM del reloj. Debido a todo esto, la polémica en cuanto al fabricante no se ha hecho esperar.
TE RECOMENDAMOS: Los mejores relojes GPS para niños
Índice de contenidos
Smartwatches MiSafes: a esto pudieran acceder los atacantes
En detalle, los investigadores de Pen Test Partners, una asociación de probadores de penetración de alta gama, compraron un montón de relojes MiSafes para no atacar ilegalmente a nadie, y luego utilizaron ataques de Referencia Directa de Objetos Inseguros (IDOR) para separar la débil seguridad del reloj. Las vulnerabilidades de IDOR son comunes También son fáciles de descubrir y permiten que un atacante obtenga datos sin autorización.
La BBC citó a Ken Munro, de Pen Test Partners, y el investigador dijo lo siguiente:
Es probablemente el truco más simple que hayamos visto.
Según las investigaciones llevadas a cabo sobre los fallos de seguridad del reloj, esto es a lo que los hackers o atacantes pueden tener acceso:
- Coordenadas GPS en tiempo real.
- Llamadas al niño a través del reloj.
- Llamadas encubierta de audio unidireccional.
- Envío de mensajes de audio al niño en el reloj, sin pasar por la lista de personas aprobadas.
- Foto del niño, más su nombre, fecha de nacimiento, sexo, peso y altura.
No es la primera vez que se lanzan productos con fallos de seguridad
El hecho de que un fabricante lance un weareble o gadget con enormes fallos de seguridad y expectativas falsas no es nada nuevo. Anteriormente, otras marcas han buscado dar la falsa idea a los consumidores de que realmente tienen lo que se les promete, lo que no siempre suele ser así: aquí es donde entra MiSafes, una marca que, desde su mismo nombre, suele generar la ilusión de seguridad.
En octubre de 2017, el Consejo de Consumidores de Noruega (NCC) publicó un informe después de hacerle seguimiento a cuatro modelos de smartwatches para niños y descubrir que les estaban dando a los padres una falsa sensación de seguridad. Algunas funciones, como el botón de emergencia ‘SOS’ y las alertas de geofencing para realizar un seguimiento del paradero de los niños, no funcionaron de forma segura.
Por otro lado, la misma agencia encontró que, mediante unos simples saltos de seguridad, personas totalmente extrañas podían tomar el control de muchos relojes inteligentes disponibles en el mercado. Debido a la falta de seguridad en los dispositivos, los oyentes pueden oír al niño portador, usar la cámara del reloj para tomar fotos, seguir los movimientos del niño o dar la impresión de que el niño está en otro lugar que no sea el lugar, incluso hablar con ellos.
En cuanto a los relojes de MiSafes, nunca debieron salir al mercado. Es más, debido a que parecen ser más problemáticos que los otros, la gente debe alejarse de ellos, y más aún los padres y niños. Por lo menos así lo afirmó el director interino de servicios digitales de la NCC, Gro Mette Moen, en un comunicado a la BBC:
Este es otro ejemplo de productos no seguros que nunca deberían haber llegado al mercado. Nuestro consejo es abstenerse de comprar estos relojes inteligentes hasta que los vendedores puedan probar que sus características y estándares de seguridad son satisfactorios.
MiSaFes, por su parte, no ha respondido a nada de esto. En ocasiones, es muy difícil encontrar resoluciones por parte de compañías y proveedores chinos. Por lo tanto, la marca sigue con su producción sin explicar nada al respecto, y generando las mismas promesas de seguridad en anuncios promocionales de sus relojes para niños, algo que resulta lamentable.
Sin embargo, Alemania no se ha quedado de brazos cruzados y ha actuado de manera intolerante y rápida, sensible a la privacidad y la vigilancia: en solo unas pocas semanas, el país prohibió la venta, distribución y posesión de relojes inteligentes para niños, y los calificó de ‘dispositivos de espionaje ilegales’.
No solo los smartwatches MiSafes: otros dispositivos de la compañía también son inseguros
En febrero de 2018, surgieron noticias de que los monitores para bebés Mi-Cam de MiSafes exponían la privacidad de los bebés: estos estaban expuestos al peligro de ser observados por miradas indiscretas y/o hablados por extraños que vagaban por Internet.
SEC Consult, una compañía austriaca de ciberseguridad, encontró múltiples vulnerabilidades críticas que permitieron la intercepción de monitores de bebés. La simple modificación de una única solicitud HTTP permitiría a un atacante espiar las guarderías y hablar con quien esté cerca del monitor del bebé.
Los monitores para bebés también tenían un firmware obsoleto, plagado de numerosas vulnerabilidades conocidas públicamente, así como barreras de seguridad simples.
SEC Consult no reveló muchos detalles sobre las vulnerabilidades en ese momento, ya que estaba esperando comunicarse con el proveedor para divulgarlas de manera responsable bajo las explicaciones del fabricante. En febrero, la firma de seguridad había estado tratando de ponerse en contacto con MiSafes desde diciembre, sin suerte alguna.
Por otra parte, vendedores como Amazon y eBay solían ofrecer estos productos, pero ya no lo hacen, y todo debido a la polémica nube que se ha formado en torno a las investigaciones de fallos de seguridad de MiSafes y algunas otras marcas. En conjunto, muchas tiendas en línea y físicas en Europa, por no decir todas, ya no tienen smartwatches MiSafes en sus estantes.
