Como ya hemos visto en anteriores ocasiones, dejar en manos de la tecnología la completa y absoluta seguridad de nuestros hijos no es una buena idea. Es verdad, ayudan mucho, pero hablamos de una red en la que proliferan muchos delincuentes. Y los vigilabebes no han estado exentos de polémica.
Hay quien dice que estos aparatos suponen un riesgo en la privacidad de nuestros hijos, y noticias como las que nos disponemos a contar sustentan esa teoría. Bitdefender, famosa firma de seguridad informática, ha detectado una serie de vulnerabilidades en videobebes de la marca iBaby Monitor, que tienen un carácter bastante grave.
Estas fallas de seguridad permitían a los atacantes tener acceso a imágenes y vídeos grabados, además de datos privados importantes como el nombre, la dirección de correo electrónico o incluso la foto de perfil del usuario.
Vulnerabilidad peligrosa
Tal y como expone la firma en este paper, la vulnerabilidad era profunda. Hasta el nivel de que si un ciberdelincuente la explotase, podría acceder a archivos almacenados en AWS (Amazon Web Services) y a las credenciales de inicio de sesión, ya que estas cámaras usan una clave y un ID de acceso. Sería posible hacer esto a través de otras cámaras conectadas al mismo servicio.
Existían fugas en la que la información personal del usuario se filtraba. A través de una vulnerabilidad IDOR (Insecure Direct Object Reference) un hacker puede conseguir datos sensibles acerca de la víctima, además deu n informa de la actividad que esta está teniendo con el dispositivo. También existía otra fuga a través del servicio MQTT (CVE-2019-12268), para controlar el acceso remoto a la cámara. En caso de que el atacante controlara el servidor MQTT cuando este configurase su cámara, es posible que se filtrase esa información y que así el hacker tuviera el control.
Expuestos a ataques
Bitdefender encontró estas vulnerabilidades investigando la cámara iBaby Monitor M6S, dispositivo que adolee de todas estas fallas de seguridad. Desde luego esto no quiere decir que automáticamente, al comprar el aparato, vayamos a sufrir un ataque; sin embargo, es innegable que el nivel de seguridad es inferior, por lo que inevitablemente estamos expuestos a que un ciberdelincuente sepa explotar todos estos problemas y suframos un ataque hacker.
No es la primera vez que esta clase de sistemas de seguridad están en la palestra de la polémica; las cámaras de seguridad Xiaomi sufrieron un problema que provocaba que pantallas de Google Nest emitiera imágenes en vivo de estas, incluso de gente durmiendo. Más tarde el error fue corregido.
Via | Bitdefender