(Imagen: foto de archivo)
¿Pensabas que el Internet de las cosas era malo? El Internet de los consoladores es mucho peor.
Investigadores de seguridad han descubierto que un popular juguete sexual conectado a Internet está plagado de vulnerabilidades y fallas, lo que pone a los usuarios en un enorme riesgo para la privacidad.
El llamado Vibratissimo “panty buster” es un juguete inteligente que se conecta mediante Bluetooth a un teléfono. Está diseñado para permitir que la pareja del usuario controle remotamente el vibrador, “desde casa o desde el otro extremo del mundo”, según el sitio web de su fabricante, Amor Gummiwaren.
Pero, según un informe de divulgación de vulnerabilidades publicado el jueves por SEC Consult, una de varias vulnerabilidades en el vibrador permitía a cualquiera tomar el control remoto del juguete sexual a través de Internet.
Esto se debe a que se puede incrementar una función de “control rápido”, que permite al usuario enviar un enlace por mensaje de texto o correo electrónico a su pareja para tomar el control del vibrador. Cada enlace es un contador global que “simplemente se incrementa en uno cada vez que se crea un nuevo enlace de control rápido”, según el informe.
“Un atacante puede adivinar fácilmente esta identificación y, por lo tanto, controlar el juguete sexual de la víctima directamente a través de Internet”.
No solo eso: una falla separada en el dispositivo permitía conexiones Bluetooth no autenticadas, lo que podría permitir que un atacante cercano secuestrara el dispositivo.
La aplicación tampoco le pide al usuario que confirme la capacidad de la otra persona para controlar de forma remota.
Los investigadores también descubrieron que el servicio back-end en la nube de la compañía para almacenar datos de clientes quedó completamente abierto y expuesto para que cualquiera pudiera encontrarlo con una dirección web fácilmente adivinable.
Los nombres de usuario, las contraseñas en texto plano, los historiales de chat y las galerías de imágenes explícitas que los propios usuarios crearon se encontraban en una base de datos que un atacante podría haber volcado y descargado fácilmente, sin necesidad de una contraseña.
Un atacante también podría obtener acceso a los nombres reales y direcciones particulares del usuario.
No se sabe exactamente cuántos usuarios había en la base de datos. Los investigadores dijeron que hay usuarios por valor de hasta seis cifras. La aplicación móvil de Android tiene entre 50.000 y 100.000 usuarios, según su listado en la tienda Google Play.
Los errores se informaron en noviembre, aunque no todos se solucionaron. Posteriormente se protegió la base de datos. Aunque la aplicación ha sido reparada, el vibrador debe enviarse al fabricante, ya que no hay forma de actualizar el dispositivo de forma remota.
Nos comunicamos con Amor Gummiwaren para hacer comentarios y lo actualizaremos si recibimos una respuesta.
No es la primera vez que se piratean juguetes sexuales conectados a Internet. Al igual que otros dispositivos de Internet de las cosas, muchos fabricantes de dispositivos han antepuesto la funcionalidad a la seguridad, poniendo a los usuarios en riesgo de sufrir ataques y agresiones. Eso plantea todo tipo de preguntas éticas: por ejemplo, si un vibrador es pirateado, ¿es eso un delito sexual? – que en gran medida aún no han sido respondidas. (Aunque muchos podrían preguntarse por qué, en primer lugar, conectar un vibrador a Internet es una buena idea).
Dado lo sensibles y personales que son estos dispositivos, los investigadores continúan centrando sus esfuerzos en encontrar fallas en los juguetes sexuales para solucionarlos.
Un investigador, que utiliza el seudónimo de RenderMan, inició un proyecto patrocinado por Pornhub conocido como “Internet de Dongs” para crear conciencia sobre los problemas de seguridad de los juguetes sexuales.
La seguridad de los juguetes sexuales puede parecer una broma, pero es un tema serio en el que los investigadores han tenido demasiado miedo de profundizar a partir de diversos complejos culturales en torno a los productos “para adultos”, dijo. en un correo electrónico. “Poder secuestrar un juguete de forma remota y tener un extraño controlándolo puede ser tan aterrador emocionalmente como una agresión física. ¿No merecen los usuarios de estos abundantes y legales productos la misma privacidad y seguridad que exigimos de todos nuestros demás dispositivos?”
“Me alegra ver que más investigadores 'crecen' y están dispuestos a ayudar a proteger a los usuarios en sus momentos más íntimos”, añadió.
Al igual que el proyecto Internet of Dongs, SEC Consult dijo que están en camino más informes sobre la vulnerabilidad de los juguetes sexuales.