Recientemente, el fabricante de un famoso casco inteligente para esquiar y andar en bicicleta, ha solucionado una falla o problema de seguridad que permitía rastrear de forma fácil la ubicación en tiempo real de cualquier persona que usara sus cascos. ¡Esto es lo que tiene que conocer al respecto!
Los datos más destacados sobre el problema de seguridad
Livall fabrica cascos conectados a Internet que permiten a grupos de esquiadores o ciclistas poder hablar entre sí usando el altavoz y el micrófono integrados en el casco, y compartir su ubicación en tiempo real en el grupo de un amigo usando las aplicaciones para teléfonos inteligentes de Livall.
Ken Munro, fundador de la firma británica de pruebas de ciberseguridad Pen Test Partners, señaló que las aplicaciones para teléfonos inteligentes de Livall tenían un defecto simple que permitía un fácil acceso a los chats de audio y, así mismo, a los datos de ubicación de cualquier grupo. Munro menciona que las 2 aplicaciones, una para esquiadores y otra para ciclistas, poseen en conjunto aproximadamente un millón de usuarios.
En el centro del error, Munro descubrió que cualquiera que usara las aplicaciones de Livall para chat de audio grupal y compartiera su ubicación debía ser parte del mismo grupo de amigos, al que se podía acceder usando solo el código numérico de 6 dígitos de ese grupo.
Lastimosamente, ese código de grupo de 6 dígitos simplemente no es lo suficientemente aleatorio y un hacker podría usar la fuerza bruta en todas las identificaciones de grupos en cuestión de minutos. Al hacerlo, cualquiera podría acceder a cualquiera del 1 millón de posibles opciones de códigos de chat grupal. Así las cosas, tan pronto como se ingresa un código de grupo válido, el hacker puede unirse al grupo automáticamente.
Es de resaltar que, Munro y sus colegas de investigación de seguridad no son ajenos a hallar fallas oscuras pero a menudo simples en productos conectados a Internet, como alarmas de automóviles, así como aplicaciones de citas y juguetes sexuales. La compañía descubrió en el año de 2021 que Peloton estaba exponiendo los datos de las cuentas privadas de los usuarios debido a una API con fugas.
Después de comunicarse con Livall, que solicitó más información, Munro envió detalles de la falla el 7 de enero, pero no recibió respuesta y no recibió ningún acuse de recibo de la empresa. Finalmente, cuando lo contactaron por correo electrónico, el fundador de Livall, Bryan Zheng, se comprometió a arreglar la aplicación dentro de las 2 semanas posteriores al correo electrónico, pero se negó a eliminar las aplicaciones de Livall mientras tanto.
En un correo electrónico, el director de I+D de Livall, Richard Yi, explicó que la empresa optimizó la aleatoriedad de los códigos de grupo agregando letras e incluyendo alertas para los nuevos miembros que se unen a los grupos. Yi también señaló que la aplicación ahora permite desactivar la ubicación compartida a nivel de usuario.