Descubren vulnerabilidades en las aplicaciones de dos juguetes eróticos

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

Female vibrator lush lovense on blue background
Female vibrator lush lovense on blue background

El distanciamiento social impuesto por las autoridades desde la llegada de la Covid-19 ha desencadenado que la venta de juguetes eróticos se haya disparado en el último año. Sin embargo, un estudio elaborado por ESET ha evidenciado que los fabricantes de este tipo de dispositivos conectados no suelen prestar especial atención a la protección frente a ciberataques y que las vulnerabilidades pueden exponer datos personales de los usuarios.

Tras haber analizado varios juguetes sexuales, este estudio explora los fallos típicos que suelen contener estos dispositivos. Y es que, según subraya la compañía de ciberseguridad, el hecho de que cada vez más juguetes eróticos incorporen aplicaciones para el móvil, mensajería, videochat y conectividad, no solo los convierte en atractivos para aquellos usuarios que quieran disfrutar, sino también para los ciberdelincuentes, que han encontrado en ellas un nuevo vector de ataque.

"Las consecuencias de una brecha en los datos en este ámbito pueden ser, lamentablemente, muy problemáticas para la víctima, ya que puede quedarse al descubierto su orientación sexual, sus comportamientos o incluso imágenes íntimas", advierte la firma de ciberseguridad.

Los investigadores han encontrado vulnerabilidades en las aplicaciones que controlan los juguetes eróticos analizados y que, según indica la compañía, "podrían facilitar la instalación de malware en el teléfono conectado, cambios en el firmware del juguete o incluso que se modifiquen las acciones del dispositivo, llegando a causar daños físicos en el usuario".

En su estudio han analizado en profundidad dos juguetes conectados, We-Vibe 'Jive' y Lovense 'Max'. Para ello, los investigadores de ESET se descargaron sus aplicaciones correspondientes, disponibles en Google Play Store (We-Connect y Lovense Remote), y utilizaron un marco de análisis de vulnerabilidades, así como diferentes técnicas de análisis para identificar potenciales fallos. A continuación repasamos sus principales conclusiones.

We-Vibe

We-Vibe Jive es un vibrador manos libres que puede utilizarse fuera del entorno doméstico. Según explica ESET, el dispositivo no deja de enviar señales para anunciar su presencia y facilitar así la conexión, lo que supone que cualquier dispositivo que lea señales Bluetooth pueda descubrirlo si se encuentra cerca (a un máximo de unos ocho metros). Asimismo, señala que los atacantes podrían identificar el dispositivo y utilizar la señal para llegar hasta el usuario que lleva puesto el vibrador. Además, indica que no se precisa de la aplicación oficial para poder controlar el dispositivo, ya que se podría manejar desde prácticamente la mayoría de los navegadores.

"Jive utiliza el método de emparejamiento menos seguro y el código temporal utilizado para el emparejamiento es cero, por lo que cualquier dispositivo podría utilizar esa clave para conectarse con el vibrador. We-Vibe Jive es muy vulnerable ante ataques 'man-in-the-middle', ya que cualquier vibrador de este modelo que no esté emparejado con un móvil o PC puede conectarse automáticamente con el usuario que lo solicite sin necesidad de verificación o autenticación", detalla ESET, y apunta:

"Los archivos multimedia compartidos por los usuarios durante las sesiones de chat se guardan en las carpetas privadas de la aplicación, pero los metadatos de estos archivos permanecen como ficheros compartidos, por lo que cada vez que un usuario envía una foto al teléfono, se está enviando información adicional sobre el dispositivo o la geolocalización exacta".

Lovense Max

El primer riesgo del que advierte el informe sobre este masturbador masculino es que al poderse sincronizar con un dispositivo remoto, puede permitir a un atacante tomar el control de ambos dispositivos comprometiendo tan solo uno de ellos. No obstante, señala que hay dos factores que dificultan la intención de los ciberdelincuentes: que los archivos multimedia no incluyen metadatos cuando se recibe información desde el dispositivo y que la aplicación permite configurar una clave de cuatro dígitos.

La compañía de ciberseguridad también indica que algunos elementos del diseño de la aplicación pueden suponer una amenaza para la privacidad del usuario, por ejemplo, la opción de reenviar imágenes a terceros sin conocimiento del propietario o que los usuarios que  hayan sido borrados o eliminados puedan seguir teniendo acceso al historial del chat. "Lovense Max no utiliza autenticación para conexiones BLE, así que se pueden utilizar ataques 'man-in-the-middle' para interceptar la conexión y enviar comandos de control a los motores del dispositivo. Además, la aplicación utiliza la dirección de correo electrónico en la ID del usuario, lo que puede suponer un problema para la privacidad, ya que se comparte la dirección con todos los teléfonos conectados al chat", añade.

We-Vibe y Lovense han arreglado las vulnerabilidades y desde ESET advierten que los usuarios de juguetes eróticos deben tomar precauciones

Tras descubrir estas vulnerabilidades, ESET envió un informe detallado sobre ellas y sugerencias para resolverlas tanto a Lovense como a WE-Vibe y ambas compañías las solucionaron antes de la publicación del informe de la firma de ciberseguridad.

"Como con cualquier dispositivo conectado, es necesario tomar ciertas precauciones en el diseño para adoptar las medidas de ciberseguridad necesarias. A pesar de que la ciberseguridad no parece ser una prioridad para los fabricantes de juguetes para adultos por el momento, hay ciertas precauciones que pueden tomar los usuarios por su cuenta, como no usar los dispositivos en sitios públicos o en zonas en las que hay mucha gente de paso, como, por ejemplo, en hoteles", han advertido las investigadoras de ESET Denise Giusto y Cecilia Pastorino.

"Los usuarios deben asegurarse de que el juguete está conectado con sus aplicaciones móviles cuando lo utilicen, ya que es la mejor forma de evitar su detección por parte de posibles atacantes. El mercado de los juguetes sexuales está creciendo mucho y los fabricantes deberían tener la ciberseguridad en mente, ya que todo el mundo tiene derecho a disfrutar de la tecnología de forma segura", han agregado.