Especialistas en seguridad informática reportan la detección de un backdoor en el código de un popular smartwatch diseñado específicamente para niños. Al parecer, esta característica permitiría a cualquier usuario activar la cámara del dispositivo de forma remota, escuchar llamadas telefónicas y rastrear su ubicación en tiempo real.
El smartwatch X4, desarrollado por la compañía noruega Xplora, funciona con sistema operativo Android y puede ser vinculado a una aplicación para que los padres supervisen el uso del dispositivos e incluso recibir alertas sobre las rutinas del niño que porta el reloj.
Una reciente investigación menciona que el backdoor puede ser activado enviando un mensaje de texto cifrado al dispositivo. Los expertos de la firma de seguridad Mnemonic mencionan que existen comandos para informar de forma indetectable la ubicación en tiempo real del reloj, activar la cámara, entre otras acciones maliciosas.
Los expertos también aseguran que 19 de las apps precargadas en el X4 fueron desarrolladas por la compañía tecnológica china Qihoo 360, que también habría colaborado en el desarrollo del dispositivo. En junio pasado, esta compañía china fue incluida en la lista de sanciones del Departamento de Comercio de E.U. por sus presuntos vínculos con el Partido Comunista de China.
En su investigación, los expertos descubrieron el backdoor mediante un revolucionario método de ingeniería inversa, comenzando con un cable USB modificado soldado a los pines expuestos en la parte posterior del reloj. Usando una interfaz para actualizar el firmware del dispositivo, fue posible descargar el firmware actual existente del reloj e inspeccionar su interior, incluyendo las aplicaciones y otros paquetes de códigos.
Por obvias razones, este es un tema preocupante en términos de seguridad y privacidad. Para empeorar las cosas, el backdoor puede aplicarse a múltiples componentes del reloj con solo usar el número de teléfono vinculado al dispositivo. Al respecto, Xplora emitió un comunicado reconociendo la existencia del backdoor y anunciando el próximo lanzamiento de un parche de seguridad, aunque también señaló que sería difícil obtener acceso a los dispositivos afectados incluso explotando el backdoor con éxito.
Después de haber vendido alrededor de 100 mil unidades del smartwatch X4, Xplora ya prepara el lanzamiento del modelo X5, aunque no se mencionó si se han corregido fallas similares en este dispositivo.
Al igual que la compañía, los expertos de Mnemonic consideran que es muy difícil explotar el backdoor, pues esto requiere conocer la calve de cifrado del dispositivo, además del número de teléfono asociado. En conclusión, aunque la compañía ha incurrido en un severo error de seguridad y su relación con China genera sospechas, no hay muchas razones para que los usuarios de estos dispositivos se sientan vigilados.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
