News

Una vulnerabilidad en la primera Barbie interactiva puede convertirla en una herramienta de ciberespionaje

Mattel ha lanzado su primera muñeca Barbie interactiva, que viene equipada con un micrófono y acceso a Internet para que las niñas puedan hablarle y la muñeca pueda responderles de manera coherente. Pero el lanzamiento de esta novedad no sólo entusiasmó a los fanáticos de este clásico juguete, también fue de gran interés para los expertos en seguridad que vieron la oportunidad de descubrir los alcances de la seguridad de esta tecnología.

La muñeca, llamada Hello Barbie, cuenta con una tecnología interactiva similar a Siri de Apple y Cortana de Microsoft que le permite tener conversaciones con sus dueñas. El micrófono graba la voz de las niñas y envía los archivos de audio a servidores externos para procesarlos y así poder dar una respuesta que parezca natural.

Pero el investigador de seguridad estadounidense Matt Jakubowski descubrió que esta tecnología era fácil de burlar, y que una vez que la muñeca se conectaba a Internet quedaba expuesta a una intrusión que podía convertirla en una herramienta de ciberespionaje. Las vulnerabilidades en el juguete permiten al atacante robar la información del sistema de la muñeca, los datos de la cuenta del usuario, el nombre de la red Wi-Fi y los archivos de audio almacenados, además de conseguir acceso al micrófono. Además, los atacantes pueden utilizar la información almacenada en el juguete para tomar control de la red inalámbrica de la casa y obtener acceso a otros dispositivos inteligentes.

El ataque tiene ciertas limitaciones: sólo puede espiar a sus usuarios cuando éstos pulsan un botón de forma voluntaria y los archivos de audio se cifran antes de transferirse a los servidores externos. De todas maneras, una vez que se realiza la intrusión, las consecuencias pueden tener un gran alcance: “la información a la que se consigue acceso te permite obtener la dirección de la casa u oficina del usuario. Es solo cuestión de tiempo para que reemplacemos sus servidores con los nuestros y podamos hacer que la muñeca diga lo que nos plazca”, dijo Jakubowski.

Toy Talk, la compañía que diseñó la tecnología de Hello Barbie, defendió su producto diciendo que “en este caso, la información que se descubre no identifica al menor. Tampoco compromete ningún audio de un niño hablando”.

Esta no es la primera alarma sobre los riesgos que Hello Barbie representa para la privacidad: en marzo, poco después del lanzamiento del juguete, un grupo de personas intentó detener la distribución de las muñecas porque se había descubierto que grababa las conversaciones que tenía con un menor. Hasta el momento, se han juntado 6.600 firmas apoyando esta petición.

Fuentes

The Guardian

The Telegraph

Pittsburg Post-Gazzette

Una vulnerabilidad en la primera Barbie interactiva puede convertirla en una herramienta de ciberespionaje

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada