Seguridad
Wearable

Expertos de Kaspersky descubren fallos de seguridad en pulseras de actividad

Según los investigadores, el método de autenticación usado en varios de estos dispositivos permite a terceros conectarse, ejecutar comandos e incluso extraer datos de los usuarios.

Fitbit_band_wearable

Las pulseras de actividad o de fitness se han vuelto muy populares, ya que ayudan a los usuarios a controlar su actividad física y gasto calórico. Sin embargo, estos dispositivos también procesan datos personales importantes de sus propietarios, por lo que es importante mantenerlos seguros. Roman Unuchek, investigador de Kaspersky Lab, ha examinado varias pulseras de fitness interactuando con un smartphone y ha descubierto que su seguridad deja mucho que desear.

De acuerdo con la investigación, el método de autenticación implementado en varias pulseras inteligentes permite a un tercero conectarse de forma invisible al dispositivo, ejecutar comandos, y, en algunos casos, extraer datos contenidos en el mismo. En los dispositivos investigados por el analista de Kaspersky Lab, esos datos se limitan a la cantidad de pasos dados por el propietario en su última sesión de entrenamiento. Sin embargo, en el futuro, cuando las pulseras de fitness de última generación capaces de recoger un volumen de datos más variado aparezcan en el mercado, el riesgo de que se filtren datos médicos sensibles del propietario podría aumentar significativamente.

El fallo de seguridad radica en la manera en la que la pulsera se empareja con un smartphone. Según la investigación, un dispositivo basado en Android 4.3 o una versión superior, con una aplicación especial no autorizada instalada puede emparejarse con pulseras de ciertos proveedores. Para establecer una conexión los usuarios tienen que confirmar el emparejamiento pulsando un botón en su pulsera. Los atacantes pueden sortear esta solicitud, porque la mayoría de las pulseras de fitness modernas no tiene pantalla. Cuando la pulsera vibra pidiendo a su propietario que confirme el emparejamiento, la víctima no tiene forma de saber si se está confirmando una conexión con su propio dispositivo o el de alguien más.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper