Vulnerabilidades en los Smartwatch

En la Black Hat Asia los expertos Kavya Racharla, investigador de Intel, y Sumant Naropanth, fundador de Deep Armo, hablaron acerca de esta vulnerabilidad en los relojes inteligentes, advirtiendo que debido al corto tiempo de desarrollo (aproximadamente 6 meses), es difícil analizar todos los posibles problemas de seguridad de estos dispositivos.

Según los especialistas, estos equipos y todos los que dependan de una aplicación para su configuración, cuentan con tres grandes problemas de seguridad: el dispositivo (la tecnología bluetooth por ejemplo), las apps y la nube (el software), esto, sumado al poco tiempo de desarrollo no es suficiente para hacer frente a cualquier ataque.

Racharla dijo que en su investigación se ha encontrado con wearables que almacenan en texto plano muchos datos, como los mensajes que el dispositivo usa para las indicaciones por voz, así como el nombre del usuario del smartwatch.

La situación se hace mucho más complicada cuando el reloj comparte esos datos con otras aplicaciones o cuando se conecta al móvil mediante Bluetooth. En este proceso se envían todo tipo de datos, como mensajes, llamadas o información biométrica.

Ambos especialistas explicaron que el Bluetooth comparte su señal con todas las aplicaciones en un dispositivo móvil, creando una fuga potencial de información personal, que facilita el consumo por un rastreador de ejercicio en otras aplicaciones o por un malware desde un dispositivo portátil.

Dichas preocupaciones también suponen que los desarrolladores aplicaron un cifrado adecuado al enlace wearable-a-smartphone e implementaron Bluetooth correctamente.

El último punto débil de un smartwatch es en la nube. Muchos relojes comparten datos con servicios almacenados en la nube para posteriormente verlos en el computador y analizarlos. Sin embargo, una mala configuración en un AWS S3 de Amazon puede hacer que se filtren estos datos, pudiendo identificar a una persona, su dispositivo, y consecuentemente sus información personal.

Por si esto fuera poco, otra práctica que suelen hacer los fabricantes de estos relojes inteligentes ocurre según Naropanth cuando un solo dispositivo pertenece a un fabricante pero, ha sido rebautizado por varias compañías, no obstante, toda la información se guarda en una única base de datos.

Bajo tales condiciones, los desarrolladores deben tener cuidado para que, "los clientes de Nike permanezcan separados de los clientes de Adidas", por ejemplo.

Como solución, tanto Racharla como Naropanth creen que es necesario que se extiendan los ciclos de desarrollo de estos dispositivos, y que haya un plan de respuesta en el caso de que se detecte que uno de estos equipos ha filtrado datos.

Fuente: TekCrispy