CloudPets pueden convertirse en dispositivos de vigilancia remota [Video]

0
435
views

La compañía de juguetes Spiral Toys, quienes comercializan el producto llamado CloudPets, sufrió un ataque informático el cual llevo al robo y filtración de sus bases de datos.

Cerca de dos millones de mensajes de voz fueron expuestos en la red, como resultado del hackeo.  Estos juguetes tienen la posibilidad de que los chicos  graben audios y se los manden a sus familiares vía Internet.

Los datos filtrados fueron proporcionados al investigador de seguridad Troy Hunt mostraron que las bases de datos MongoDB contenían información personal, contraseñas y grabaciones de voz de los mensajes de niños y padres usando juguetes de peluche CloudPets estaban desprotegidos en Internet desde diciembre de 2016.

Las bases de datos fueron accesadas repetidamente por usuarios no autorizados, algunos de los cuales aparentemente descargaron el contenido de sus servidores, eliminaron las bases de datos y pidieron rescate para devolver los datos.

 

La pesadilla de seguridad de CloudPets

Tomando todo esto consideración, no debería ser sorpresa que los juguetes CloudPets fueran vulnerables y carecieran de seguridad que impidiera convertirse en dispositivos de vigilancia remota.

Los investigadores de Seguridad han estado probando los juguetes de CloudPets durante unos meses y han descubierto que el juguete utiliza la tecnología inalámbrica Bluetooth LE (Low Energy) para comunicarse con una aplicación de smartphone.

También encontraron que es fácil configurar una página web que podría enviar instrucciones a un juguete cercano para activar remotamente su función de grabación, descargar el audio grabado y reproducirlo en un teléfono, grabar audio desde el teléfono y subirlo al juguete , Etc.

Incluso proporcionaron el código en Github, por lo que otros pueden probar el ataque (en un juguete CloudPet que poseen). El código utiliza la nueva API Bluetooth de Chrome para comunicarse con el juguete y sólo funciona en Chrome en Windows y en Chrome OS.

“Cualquiera puede conectarse al juguete, siempre y cuando esté encendido y no conectado actualmente a otra cosa. Bluetooth LE normalmente tiene un rango de unos 10-30 metros, por lo que alguien de pie fuera de su casa podría conectar fácilmente con el juguete, cargar grabaciones de audio y recibir audio desde el micrófono “, señalaron los investigadores. El ataque se demuestra en este video:

Fuente

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop