Los juguetes eróticos o para adultos también tienen su versión conectada, que se vincula con una aplicación de móvil para ampliar sus funciones, pero generalmente acusan una falta de protección que pone en riesgo datos sensibles de sus usuarios, asegura la compañía ESET con We-Vibe ‘Jive’ y Lovense ‘Max’.
Cada vez más juguetes eróticos incorporan aplicaciones para el móvil, mensajería, videochat y conectividad, lo que los convierte en atractivos no solamente para aquellos usuarios que quieran disfrutar, sino también para los ciberdelincuentes, que han encontrado en ellas un nuevo vector de ataque.
Las consecuencias de una brecha en los datos en este tipo de productos pueden ser «muy problemáticas para la víctima», ya que pueden filtrar información privada y sensible, como la orientación sexual, los comportamientos e incluso fotografías íntimas, como explican desde ESET.
Los investigadores de esta compañía de ciberseguridad han analizado «en profundidad» dos juguetes conectados para adultos: We-Vibe ‘Jive’ y Lovense ‘Max’, y han encontrado vulnerabilidades en las aplicaciones que los controlan y que podrían facilitar la instalación de ‘malware’ en el teléfono, cambios en el firmware del juguete o incluso que se modifiquen las acciones del dispositivo, llegando a causar daños físicos en el usuario.
WE-VIBE JIVE
We-Vibe Jive es un vibrador manos libres que se puede utilizar fuera del entorno doméstico. A través del análisis de su aplicación, los investigadores explican que envía continuamente señales para anunciar su presencia y facilitar la conexión, con lo que cualquier dispositivo que lea señales Bluetooth puede descubrirlo si se encuentra cerca (a un máximo de unos ocho metros).
- Jive utiliza el método de emparejamiento menos seguro y el código temporal utilizado para el emparejamiento es cero, por lo que cualquier dispositivo podría utilizar esa clave para conectarse con el vibrador.
- Esto supone que los atacantes podrían identificar el dispositivo y utilizar la señal para llegar hasta el usuario que lleva puesto el vibrador. Además, apuntan que no es necesario descargar la aplicación oficial para poder controlar el dispositivo, ya que se podría manejar desde la mayoría de los navegadores.
- Por otra parte, los archivos multimedia compartidos por los usuarios durante las sesiones de chat se guardan en las carpetas privadas de la aplicación, pero los metadatos de estos archivos permanecen como ficheros compartidos, por lo que cada vez que un usuario envía una foto al teléfono, se está enviando información adicional sobre el dispositivo o la geolocalización exacta.
LOVENSE MAX
En el caso del masturbador masculino Lovense Max, este dispositivo puede sincronizarse con otro dispositivo remoto, lo que permitiría a un atacante tomar el control de ambos, comprometiendo tan solo uno de ellos.
Sin embargo, y a diferencia del otro juguete, los archivos multimedia no incluyen metadatos cuando se recibe información desde el dispositivo y la aplicación permite configurar una clave de cuatro dígitos, lo que dificulta la intención de los ciberdelincuentes.
- No obstante, algunos elementos del diseño de la aplicación pueden suponer una amenaza para la privacidad del usuario, como por ejemplo la opción de reenviar imágenes a terceros sin conocimiento del propietario o que los usuarios que hayan sido borrados o eliminados puedan seguir teniendo acceso al historial del chat.
- Lovense Max no utiliza autenticación para conexiones BLE, así que se pueden utilizar ataques ‘man-in-the-middle’ para interceptar la conexión y enviar comandos de control a los motores del dispositivo.
- Además, la aplicación utiliza la dirección de correo electrónico en la ID del usuario, lo que puede suponer un problema para la privacidad, ya que se comparte la dirección con todos los teléfonos conectados al chat.
ESET ha enviado tanto a Lovense como a We-Vibe un informe con las vulnerabilidades descubiertas, que fueron solucionadas antes de la publicación del informe.