Bueno señores, empezamos el año como lo dejamos, es decir, aprendiendo y compartiendo conocimientos sobre Tecnología y, en concreto, sobre Hacking y Seguridad Informática.
Hoy vamos a compartir con todos vosostros un análisis de seguridad realizado a uno de esos nuevos dispositivos que se están imponiendo y que están experimentando un boom de usuarios: Los relojes inteligentes o Smartwatches.
Vamos a aprender cómo esta nueva tecnología tiene (como no) sus vulnerabilidades, o mejor expresado, puede ser empleada para explotar vulnerabilidades en otros dispositivos como teléfonos móviles con sistema operativo Android.
En concreto vamos a publicar en este post un análisis de seguridad que hemos realizado sobre un reloj inteligente en concreto (modelo y marca que identificaremos) así como las dos formas en que lo hemos empleado para testar su capacidad de ser utilizado como método de hackeo de teléfonos móviles ajenos. En la primera de estas formas que hemos probado no necesitaremos tener acceso al teléfono móvil a hackear. En el segundo método de hackeo que hemos analizado sí necesitaremos un acceso de un minuto de duración al teléfono móvil de la víctima.
Una vez más, y como siempre, recordamos que el objetivo de estos post y de esta publicación es compartir conocimiento para concienciar y, sobre todo, para aumentar nuestra capacidad de defensa y seguridad frente a riesgos reales para nuestra intimidad, anonimato y propiedad digital. en ningún caso nos hacemos responsables ni alentamos la utilización de estos conocimientos con fines ilícitos o delictivos.
Empecemos…
El reloj inteligente que hemos testado con fines de hackeo y testeo de seguridad es un Innwatch, del fabricante Injoo, marca blanca de fabricantes orientales de excelentes calidades tanto tecnológicas como a nivel de acabados. Un buen terminal de estas características mucho más económicos y de usos generales que los de marcas con ecosistemas cerrados como Apple o Samsung, por definición mucho más caros y centrados específicamente en sus teléfonos de misma marca.
Modelo Innwatch 1 del fabricante InnJoo utilizado en nuestro testeo de seguridad y hacking.
Lo primero que debemos preguntarnos es ¿Qué es lo que ha hecho que este terminal en concreto sea muy apto para tareas de hacking? Pues el hecho de que el software de sincronización del reloj con teléfonos móviles mediante Bluetooth que trae el terminal de fábrica ha sido diseñado con las mejores intenciones para dotarlo de comodidad para el usuario en todo lo relacionado con conectividad entre dispositivos, lo que, por añadidura, lo hace óptimo para todo tipo de labores de hackeo como veremos.
La primera de estas características que ofrece este reloj para ser utilizado como método de hackeo es que, al buscar dispositivos móviles (u otros periféricos vía Bluetooth) NO requiere de contraseña numérica emitida por el teléfono a sincronizar lo que, como os podéis ir imaginando, facilita sobremanera que pueda ser empleado no sólo para sincronizarlo a nuestro teléfono, sino a CUALQUIER teléfono ajeno que se encuentre en su radio de acción de la frecuencia Bluetooth (es decir, unos 10 metros a la redonda más o menos).
Al no requerir contraseña ni permisos de administrador numéricos por parte del teléfono que queramos sincronizar a nuestro reloj, podemos tener acceso a cualquier terminal Android cercano y ajeno a nosotros, sin restricción alguna y de manera remota.
Con las aplicaciones que vienen preinstaladas de fábrica en el reloj podemos sincronizar (o, a efectos de hacking, copiar y robar) los siguientes parámetros del teléfono de la víctima:
Como hemos mencionado, esta primera modalidad de hackeo que permite este smartwatch No requiere acceso al terminal hackeado pues con determinados modelos de teléfono móvil y versiones Android (que no vamos a especificar en este artículo) es el propio smartwatch el que activa la función de Bluetooth del teléfono móvil, sin necesidad de intervenir ni permitir dicha activación desde el terminal.
De manera que ahí lo tenéis, un hackeo de libro, sencillo y sin necesidad de spyware o software especializado alguno. Tan sólo con las propias funciones y aplicaciones que el reloj traeo de fábrica.
A continuación vamos a analizar un segundo modelo de hackeo, más profundo y con el que podemos hacernos con el control total del teléfono móvil ajeno pero para el que sí se requiere acceso al terminal de la víctima durante 30s.
En esta segunda modalidad de hackeo aprovecharemos una vulnerabilidad importante del propio software de sincronización del reloj con el teléfono móvil a hackear, mediante la utilización de un código QR para la descarga en el teléfono del software oficial del fabricante del reloj, InnJoo.
Una de las aplicaciones que trae el reloj para una total sincronización con el teléfono móvil (en principio del propietario del smartwatch) presenta en la pantalla del reloj un código QR que, siendo fotografiado con el teléfono, descarga en el mismo el software de sincronización total. De manera que teniendo acceso durante 30 segundos al teléfono móvil de una víctima potencial y fotografiando con él dicho código QR, este programa se descarga e instala en el móvil de manera automática y ya está el lío formado.
A partir de ahí y con dicho software descargado e instalado de manera autónoma en el teléfono de la víctima al que sólo hemos necesitado acceder durante un descuido de 30 segundos, tenemos acceso total a la vida digital de la víctima. En concreto (y además de todo lo anterior a lo que teníamos acceso con la forma de hackeo que no precisaba acceso al móvil) ahora además también controlaremos:
Creo que no hace falta indicar el enorme potencial de hackeo y la grandísima vulnerabilidad y peligro que implican tanto el primero como el segundo de los modos en que se puede usar esta tecnología de sincronización entre smartwatches y teléfonos móviles Android.
Como siempre, la moraleja viene a ser la misma: Se está creando tecnología de vanguardia que se pone a disposición del gran público en general (lo cual es muy bueno) pero sin que dicho público cuente ni con la adecuada formación ni la protección debida frente al uso delictivo que se le puede dar a dicha tecnología. Una vez más repetimos: La Tecnología es neutral. Es el uso que se le da a la misma lo que determina el bien o el mal que se puede hacer con ella.
Aquí estamos para informar, formar y compartir conocimiento en la esperanza de que seamos cada día un poco más conscientes de los peligros digitales frente a los que cabe estar protegidos.
Saludos a tod@s.
Hoy queremos hablaros de Docker un proyecto que cada día es más usado, porque permite…
Cada vez estamos más acostumbrados a usar código para generar la infraestructura (IaC), documentar nuestro…
Uno de los problemas que se presentan con una mayor frecuencia hoy en día, es…
Uno de los problemas que solemos tener los programadores, es que nos gusta estar a…
Docker es una de las herramientas más usadas por los desarrolladores, sin embargo, usarlo en…
Como seguramente sabrás el uso de JavaScript ha crecido exponencialmente en los últimos tiempos, sin…