Los investigadores de seguridad dicen que un truco de un Smartwatch, popular entre los ancianos y los pacientes con demencia, podría haber sido engañado para permitir que un atacante tome fácilmente el control del dispositivo.
Estos relojes están diseñados para ayudar a los pacientes a llamar fácilmente a sus cuidadores; también para que los cuidadores rastreen la ubicación de sus pacientes. Vienen con su propia conexión celular, por lo que trabajan en cualquier lugar.
Pero los investigadores de la firma de seguridad con sede en el Reino Unido, Pen Test Partners, descubrieron que gracias a un truco podían engañar al Smartwatch. ¿Con qué objetivo? Para que enviara recordatorios falsos de «tomar píldoras» a los pacientes con la frecuencia que quisieran, dijeron. Esto podría ser perjudicial para la salud de los pacientes, e incluso hasta matarlos, añadieron los investigadores.
«Es poco probable que una persona con demencia recuerde que ya había tomado su medicamento», escribió Vangelis Stykas en una publicación de blog. «Una sobredosis podría resultar fácilmente».
Todos los Smartwatch de Europa son vulnerables
Las vulnerabilidades se encontraron en el sistema de back-end en la nube, conocido como SETracker, que alimenta el smartwatch. El mismo sistema en la nube también impulsa millones de otros relojes inteligentes de marca blanca y rastreadores de vehículos en toda Europa. Todos eran vulnerables a los ataques básicos, dijeron los investigadores.
Los investigadores encontraron una copia del código fuente que alimenta el sistema de nube de back-end. Esto les permite encontrar debilidades de seguridad en el código. Una de las principales fallas encontradas fue que el servidor estaba usando una clave codificada. ¿Qué significa esto? Que si se usaba, un atacante podría haber enviado comandos para controlar de forma remota cualquiera de estos dispositivos.
Con esta llave, un atacante podría activar la alerta de «tomar píldoras», hacer llamadas telefónicas secretamente desde el dispositivo; también enviar mensajes de texto o, en el caso de los rastreadores de vehículos, cortar el motor por completo.
El código también tenía contraseñas y tokens para el almacenamiento en la nube de SETracker. Los investigadores creen, según el código, los datos almacenados cargados por estos dispositivos fueron hackeados. Pero los investigadores no pudieron comprobarlo, ya que hacerlo habría infringido las leyes de piratería informática del Reino Unido.
Dicen que el Truco de Smartwatch ya fue solucionado
Los investigadores dijeron que las vulnerabilidades ya han sido reparadas. No se sabe si los defectos han sido explotados por otra persona.
Esta última investigación se produce solo unos meses después de que Pen Test Partners descubriera vulnerabilidades similares en otros relojes inteligentes de marca blanca de seguimiento de niños ampliamente utilizados.
La seguridad, o la falta de ella, es una tendencia creciente entre los fabricantes de dispositivos inteligentes, que a menudo construyen dispositivos con poca consideración por las buenas prácticas de ciberseguridad.
Eso llevó al gobierno del Reino Unido a proponer una nueva legislación que ayudaría a mejorar su seguridad. ¿Cómo? Al exigir que los dispositivos inteligentes se vendan con un nivel básico de seguridad, como contraseñas únicas.
:)