Vulnerabilidades en un robot de juguete permiten el espionaje

Nuestros expertos descubrieron que un popular robot de juguete para niños contenía vulnerabilidades que permitían a actores maliciosos realizar videollamadas, robar la cuenta de los padres y modificar el firmware.

Los expertos de Kaspersky estudiaron recientemente la seguridad de un modelo de robot de juguete popular y encontraron problemas graves que permitían a actores maliciosos hacer una videollamada al robot, secuestrar la cuenta de los padres o, potencialmente, incluso cargar firmware modificado. Sigue leyendo para conocer los detalles.

Qué puede hacer un robot de juguete

El modelo de robot de juguete que estudiamos es una especie de híbrido entre un teléfono inteligente o una tableta y un altavoz inteligente con ruedas que le permite moverse. El robot no tiene extremidades, por lo que la única forma de interactuar físicamente con el entorno es rodar por la casa.

La pieza central del robot es una gran pantalla táctil que puede mostrar una IU (Interfaz de Usuario) de control, aplicaciones de aprendizaje interactivas para niños y una cara animada similar a una caricatura. Sus expresiones faciales cambian con el contexto. Hay que reconocer que los desarrolladores hicieron un gran trabajo con la personalidad del robot.

Puedes controlar el robot con comandos de voz, pero algunas de sus funciones no los admiten, por lo que a veces debes coger el robot y tocar su cara (la pantalla integrada).

Además de un micrófono integrado y un altavoz bastante ruidoso, el robot tiene una cámara gran angular colocada justo encima de la pantalla. Una función clave publicitada por el proveedor es que los padres pueden hacer videollamadas con sus hijos directamente a través del robot.

En la parte frontal, entre la pantalla y las ruedas, hay un sensor de reconocimiento óptico de objetos adicional que ayuda al robot a evitar colisiones. Dado que el reconocimiento de obstáculos es totalmente independiente de la cámara principal, los desarrolladores añadieron para mayor utilidad un obturador físico que la cubre por completo.

Por lo tanto, si te preocupa que alguien pueda estar mirándote o mirando a tus hijos a través de esa cámara (lamentablemente, con razón, como veremos más adelante), puedes cerrar el obturador. Si te preocupa que alguien pueda estar espiando a través del micrófono incorporado, puedes apagar el robot (a juzgar por el tiempo que tarda en reiniciarse, se trata de un apagado real, no de un modo de suspensión).

Como era de esperar, los padres tienen a su disposición una aplicación para controlar y supervisar el juguete. Y, como ya debes haber adivinado, todo está conectado a Internet y emplea un montón de servicios en la nube. Si te interesan los detalles técnicos, puedes encontrarlos en la versión completa de la investigación de seguridad, que hemos publicado en Securelist.

Como de costumbre, cuanto más complejo es el sistema, más probable es que tenga brechas de seguridad, que alguien podría intentar explotar para hacer algo indeseable. Aquí hemos llegado al punto clave de esta publicación: después de estudiar de cerca el robot, encontramos varias vulnerabilidades graves.

Videollamadas no autorizadas

Lo primero que encontramos durante nuestra investigación fue que los actores maliciosos podían realizar videollamadas a cualquier robot de este tipo. El servidor del proveedor emitía tokens de sesión de vídeo a cualquier persona que tuviera tanto el ID del robot como el ID del padre. El ID del robot no era difícil de forzar: cada juguete tenía un ID de nueve caracteres similar al número de serie impreso en su cuerpo, y los dos primeros caracteres eran los mismos para todas las unidades. El ID del padre se podría obtener enviando una solicitud con el ID del robot al servidor del fabricante sin ninguna autenticación.

Por lo tanto, un actor malicioso que quisiera llamar a un niño al azar podría intentar adivinar el ID de un robot específico o jugar a la ruleta y llamar a ID aleatorios.

Secuestro completo de la cuenta de los padres

Esto no termina ahí. El ingenuo sistema permite que cualquier persona con el ID de un robot obtenga mucha información personal del servidor: dirección IP, país de residencia, nombre del niño, sexo y edad, junto con los detalles de la cuenta de los padres (dirección de correo electrónico de los padres, número de teléfono y el código que vincula la aplicación parental al robot).

Esto, a su vez, creó la oportunidad de un ataque mucho más peligroso: el secuestro completo de la cuenta de los padres. Un actor malicioso solo habría tenido que seguir unos sencillos pasos:

  • El primero habría sido iniciar sesión en la cuenta de los padres desde su propio dispositivo utilizando la dirección de correo electrónico o el número de teléfono obtenido previamente. La autorización requería el envío de un código único de seis dígitos, pero los intentos de inicio de sesión eran ilimitados, por lo que un ataque por fuerza bruta habría funcionado.
  • Solo se hubiera necesitado un clic para desvincular el robot de la cuenta verdadera de los padres.
  • Lo siguiente habría sido vincularlo a la cuenta del atacante. La verificación de la cuenta se basaba en el código de vinculación mencionado anteriormente, y el servidor lo enviaba a todos los interesados.

Un ataque exitoso habría implicado que los padres perdieran todo el acceso al robot y su recuperación habría requerido ponerse en contacto con el soporte técnico. Incluso así, el atacante podría haber repetido todo el proceso nuevamente, ya que todo lo que necesitaba era el ID del robot, que seguía siendo el mismo.

Carga de firmware modificado

Por último, al estudiar la forma en que funcionaban los diversos sistemas del robot, descubrimos problemas de seguridad con el proceso de actualización del software. Los paquetes de actualización venían sin una firma digital y el robot instalaba un archivo de actualización con formato especial recibido del servidor del proveedor sin ejecutar verificaciones primero.

Esto generaba posibilidades para atacar el servidor de actualización, reemplazar el archivo con uno modificado y cargar firmware malicioso que permitía al atacante ejecutar comandos arbitrarios con permisos de superusuario en todos los robots. En teoría, los atacantes habrían podido asumir el control sobre los movimientos del robot, usar las cámaras y los micrófonos incorporados para espiar, hacer llamadas a los robots, etc.

Cómo mantenerte seguro

Sin embargo, este cuento tiene un final feliz. Informamos a los desarrolladores del juguete sobre los problemas que habíamos descubierto y tomaron medidas para solucionarlos. Todas las vulnerabilidades descritas anteriormente se han corregido.

Para finalizar, aquí hay algunos consejos para protegerte cuando usas dispositivos inteligentes:

  • Recuerda que todo tipo de dispositivos inteligentes, incluso los juguetes, suelen ser sistemas digitales muy complejos cuyos desarrolladores a menudo no garantizan un almacenamiento seguro y confiable de los datos del usuario.
  • Cuando compres un dispositivo, asegúrate de leer atentamente los comentarios y las reseñas de los usuarios e, idealmente, los informes de seguridad que puedas encontrar.
  • Ten en cuenta que el mero descubrimiento de vulnerabilidades en un dispositivo no lo hace inferior: se pueden encontrar problemas en cualquier lugar. Lo que debes buscar es la respuesta del proveedor: es un buen indicio si se ha solucionado algún problema. No es bueno que al proveedor no le importe.
  • Para evitar que te espíen o escuchen a través de tus dispositivos inteligentes, apágalos cuando no los estés usando y cierra el obturador o tapa la cámara.
  • Por último, no hace falta decir que debe proteger los dispositivos de todos los miembros de tu familia con una solución de seguridad confiable. Es cierto que el hackeo de un robot de juguete es una amenaza exótica, pero la probabilidad de encontrar otros tipos de amenazas en Internet sigue siendo muy alta en la actualidad.
Consejos