El pareado móvil-smartwatch como foco de posibles Man In The Middle

Escribía el viernes pasado un artículo para el CIGTR (ES) sobre la irrupción del IoT y los riesgos asociados. Y en la labor de recopilación de artículos relacionados, me encontré con la investigación de Liviu Arsene, analista senior de seguridad de Bitdefender.

smartwach risk

En el vídeo que acompaña el artículo (por cierto, para ser un vídeo aparentemente destinado a la comunidad técnica, me sorprende la calidad del mismo), se explica por alto cómo después de analizar los paquetes que se enviaban el Nexus 4 y el LG G Watch entre sí (emisión de notificaciones, recepción de acciones), se dio cuenta que muchos de ellos se hacían en texto plano, sin cifrado de ningún tipo.

Para colmo, y aquí viene lo simpático, la única protección que había en la comunicación depende del pareado inicial que se hace entre smartphone y smartwatch mediante la aplicación de smartwatch oportuna, y que está formado por un PIN de seis caracteres numéricos.

Es decir, una contraseña que se genera una única vez, que es utilizada a partir de entonces para todas las demás comunicaciones, y que si permutamos obtenemos tan solo 1 millón de posibles variaciones.

Bastaría un esquema de hombre en medio (MITM) y un ataque de fuerza bruta sencillito (en serio, un PIN de 6 números) para intervenir cualquier notificación recibida al smartwatch, y previsiblemente, realizar algunas acciones básicas.

Y si encima esto lo unimos a que la comunicación se hace en claro, tenemos el ejemplo perfecto de cómo un elemento de la cadena inseguro manda al traste la seguridad de todo el sistema.

De nada va a servir entonces si WhatsApp cifra de punto a punto la comunicación, ya que con el MITM entre el teléfono y el smartphone podremos leer en claro las conversaciones.

Pasaría lo mismo con los SMS, que ya de base preveo que volverán a estar de moda en ataques de suplantación de identidad y suscripción a servicios premium (en los dos casos, lanzas la petición, y el SMS lo lees de camino al smartwatch, pudiendo hacer que el móvil confirme la suscripción o valide que es quien dice ser y que luego borre o deje como leído el SMS).

Funciones limitadas, pero en todo caso muy pero que muy peligrosas. Ahora habrá alguien que diga que para ello tenemos que estar físicamente cerca de la víctima, y tengo que darle la razón. Pero en todo caso esto también apunta a su uso de forma masificada (en medio de la plaza de Sol, esnifando conexiones a relojes inteligentes para lanzarles peticiones de búsqueda de X página para realizar posicionamiento artificial en buscadores o descargar malware en dispositivos).

Y esto es solo un ejemplo de lo que nos queda por ver de aquí en adelante, con la proliferación del Internet de las Cosas, y la falta de protocolos estandarizados que certifiquen la seguridad de sus conexiones.

Porque sinceramente, a día de hoy hay miles y miles de empresas con dispositivos de la más diversa índole (bombillas, televisores, ropa, termostatos, lavadoras,…) que en su vida se han planteado la seguridad como elemento crítico (por la sencilla razón de que hasta hace nada esos productos no precisaban una política de seguridad) sacando al mercado tecnología conectada como churros.

Cada uno con sus propios desarrollos, sin cifrado y sin compatibilidad con el resto. Dispositivos que interaccionan con el entorno, y que podrían poner en peligro la vida de las personas (¿qué pasaría si por una mala gestión del panel de administración del calefactor de una casa un atacante puede aumentar la temperatura del mismo por encima del límite recomendado? ¿qué pasa si con un simple móvil puedo lanzar señales que deshabiliten bombas de insulina a mi alrededor, o reinicien los marcapasos?).

El tema se vuelve espinoso por momentos. Bienvenidos sean estos dispositivos, pero ojo con su uso mientras el mercado no esté convenientemente regulado.