En febrero del año pasado se descubrió que una empresa de peluches inteligentes llamada Spiral Toys recopilaba todas las grabaciones que hacía y las enviaba a un servidor, en el cual se estaban almacenando sin ningún tipo de protección. Después de afirmar haber tomado medidas para solucionar, se descubrió que estos peluches tenían aún más vulnerabilidades.
Así lo ha afirmado Mozilla, que ha analizado la seguridad de estos peluches llamados CloudPets. Ellos han sido quienes han ejercido presión para que tiendas como Amazon o eBay hayan dejado de vender estos peluches llenos de vulnerabilidades, muchas de ellas sin parchear. Otras tiendas americanas también les han seguido y han dejado de venderlos, destaco adslzone
Estos peluches, de inocente apariencia, cuentan con un micrófono y un altavoz que permite grabar mensajes y reproducirlos. A través de la aplicación para móviles, un familiar del niño puede enviarle mensajes al peluche para que los escuche el niño. Cuando llega uno, el corazón se ilumina para indicar que hay mensajes pendientes, y se reproducen presionando en el icono azul de WiFi del brazo izquierdo. Para grabar un mensaje, se usa el botón rojo del brazo derecho.
Estos mensajes se envían utilizando Bluetooth LE, y a pesar de que se subsanó el error que dejaba públicos los mensajes grabados, el investigador Troy Hunt descubrió que los datos habían sido accedidos en múltiples ocasiones por personas no autorizadas, y que incluso se estaba haciendo chantaje a quienes habían grabado los mensajes.
Por si fuera poco, una empresa de Londres descubrió que un atacante podía activar la grabación del peluche cuando él quisiera para espiara a sus dueños. Sólo era necesario que estuviera encendido y no conectado a otro dispositivo, además de tener que estar dentro del alcance de Bluetooth, que es de entre 10 y 30 metros. La dirección web que llevaba a un tutorial de cómo configurar el peluche había caducado, por lo que un atacante podía comprarlo y usarlo para atacar aún más a las familias.
Aunque han dejado de venderse en Estados Unidos, en algunas tiendas europeas de Amazon (incluyendo la de España) todavía pueden comprarse estos peluches, contando incluso uno de ellos con la recomendación de Amazon’s Choice. De momento la propia Amazon como tal no lo vende, sino que son tiendas de terceros, por lo que pronto podrían desaparecer los anuncios de estos productos en general. También se ha pedido a Apple y a Google que eliminen la aplicación de sus tiendas.
Para evitar este tipo de problemas, es necesario crear dispositivos del IoT (porque estos peluches no dejan de serlo) que tengan una mayor seguridad y puedan actualizar su firmware de una manera fácil y sencilla por parte del usuario. Gracias a ello se podrán subsanar todos los problemas de seguridad rápidamente y evitar que los ataques se extiendan.