SEGURETAT INFORMÀTICA

Els electrodomèstics que t’espien són vulnerables als ‘hackers’

El congrés NoConName posa en evidència la falta d’intimitat i seguretat dels aparells connectats

01. Amb una Smart TV es pot saber a quina hora mires la televisió o si tens nens, per si poses programes infantils. 02. L’expert en seguretat informàtica polonès Jakub Korepta en una conferència al congrés NoConName.
i Enric Borràs
04/12/2017
4 min

Barcelona“He anat comprant uns quants articles per analitzar-los”, diu el hacker ètic Luis Enrique Benítez davant de més de 250 experts en seguretat informàtica que participen en el congrés del sector més veterà d’Espanya, el NoConName. Darrere seu, un projector mostra els electrodomèstics que ha adquirit: un televisor, una barra de so, una rentadora i un aparell per controlar la despesa elèctrica de casa. “El resultat de tot això és que ens vigilen”, afegeix mentre fa saltar la imatge del logotip del programa de televisió Gran Hermano.

Benítez explica com va descobrir que el seu televisor intel·ligent envia informació als servidors d’alguns canals cada vegada que s’hi connecta. No només els fa saber que els està veient, sinó també en quin ordre té configurats els canals al seu comandament. I a alguns d’aquests canals els envia totes aquestes dades cada quatre segons. “Quin canal mires, quan ho fas, si canvies quan fan publicitat... tot això es registra”, diu. I recorda l’escàndol dels televisors Samsung, que avisaven que podien analitzar les converses que es tenien davant dels aparells amb el reconeixement de veu activat. “Amb una Smart TV es pot saber a quina hora mires la televisió. Per tant, quan estàs despert, o si tens nens o no, per si poses programes infantils”. La barra de so que es connectava al wifi de casa, una OKI Sb Media Player, la defineix com “un petjapapers” per la quantitat de vulnerabilitats que ha acumulat després d’anys sense que se n’actualitzi el programari.

Aquesta falta de respecte per la intimitat -que els compradors accepten voluntàriament amb els acords d’ús- es converteix en perillosa quan es combina amb faltes de seguretat. Per a José Nicolás Castellano -un dels organitzadors del congrés, que reuneix centenars d’experts a la Facultat de Biologia de la Universitat de Barcelona en un cap de setmana de novembre-“molts dispositius de l’internet de les coses es fabriquen en països on la seguretat i la privacitat s’infravaloren i els costos de la seguretat estan per damunt del pressupost”.

Amb prou objectes connectats interrelacionats es pot tenir una llar intel·ligent o fins i tot una smart city, però què passa si són vulnerables? L’expert en seguretat informàtica polonès Jakub Korepta en demostra els perills quan, davant l’auditori entusiasmat, ensenya en viu en una conferència com prendre el control d’un videointèrfon, el Kdoor-6, que es connecta al wifi de la llar. En uns minuts accedeix a la videocàmera de manera remota i aviat demostra com és possible aconseguir els números identificatius dels 74.000 videointèrfons d’aquest model que s’han venut. L’auditori esclata a riure quan diu què cal fer per accedir al mode de configuració de l’aparell amb poders d’administrador: clicar el timbre tres segons seguits. “Per protegir casa teva”, remata, has de fer servir el videointèrfon “que t’hagis fet tu mateix” perquè “si es connecta a un núvol xinès mai estaràs segur”.

La rentadora et delata

Quan Benítez es va haver de canviar la rentadora en va triar una de connectada, per aprofitar i investigar-la -i posar rentadores des de la feina, diu enjogassat-. Va triar una Dynamic Next, explica, i aviat es va adonar que l’aparell enviava informació a un servidor cada 30 segons: dades sobre l’ús de la màquina, els programes que triava, etc. Investigant més, va comprovar que amb números de sèrie d’altres aparells, fàcils d’aconseguir per internet, podia accedir a aquestes dades d’altres usuaris. També va veure que el gestor de continguts de la web de la marca era força vulnerable a un atac informàtic. Va trobar vulnerabilitats semblants al dispositiu que es va comprar per connectar-lo al comptador i controlar la despesa elèctrica: canviant el número d’usuari podia accedir a les dades d’altres aparells. “Algú altre pot accedir a la informació sobre a quina hora et lleves i engegues el microonoes per escalfar la llet, quan ets a casa i quan no... Si un atacant és capaç d’obtenir aquestes dades pot fer un perfil de com és la teva vida i quins són els teus hàbits”, alerta Benítez. I és que, a més, l’aparell emmagatzema les coordenades d’on està instal·lat. Potser només alguns objectes connectats són insegurs, admet Benítez. “Però casualment sempre he trobat algun problema en tots els aparells que han passat per les meves mans”, afegeix.

El mercat de les coses connectades creix sense parar: hi ha des d’aspiradores amb càmera vulnerables als hackers -tal com va publicar aquest diari- fins a vibradors que envien a l’empresa dades sobre la periodicitat i intensitat d’ús. British Condoms ha anat un pas més enllà i ha anunciat un preservatiu amb connexió Bluetooth i sensors capaços de registrar dades com la durada de les relacions sexuals, la força dels moviments, les calories cremades, la temperatura corporal i la presència de malalties de transmissió sexual. El compte de Twitter @InternetOfShit, amb un quart de milió de seguidors, aplega exemples dels desastres que ja arriben a causar aquesta mena d’objectes, que no són cosa del futur.

stats