Un casco inteligente para los aficionados al ciclismo y al esquí parece una buena idea.
Si estás en pistas o senderos, querrás proteger tu cabeza y mantenerte en contacto con tu grupo.
Es por eso que Livall, un popular fabricante de cascos para esquiar y andar en bicicleta, presumiblemente ha desarrollado una línea “inteligente” de productos con funcionalidad “walkie-talkie” para que los grupos se mantengan en contacto y rastreen la ubicación de cada uno.
Desafortunadamente, según los investigadores de seguridad, la implementación de la tecnología “inteligente” por parte de Livall fue nada menos que una tontería.
Como TechCrunch Según informes, una falla de seguridad permitió a partes no autorizadas rastrear la ubicación de cualquiera que usara sus cascos y escuchar conversaciones grupales.
Después de que los investigadores de seguridad de Pen Test Partners se acercaran a los periodistas en TechCrunch Debido a que no recibieron respuesta de Livall, la falla ya se ha solucionado.
Como explica Pen Test Partners en una publicación de blog, las aplicaciones para teléfonos inteligentes de Livall piden a los propietarios de cascos que creen un grupo para conectarse con amigos.
Esto se hace con la aplicación de Livall (tienen una separada para esquiadores y ciclistas, pero funcionan de la misma manera) que solicita que se ingrese un código para unirse a un grupo. Ese código constaba de seis dígitos.
Como explica Ken Munro de Pen Test Partners, “Ese código de grupo de seis dígitos simplemente no es lo suficientemente aleatorio. Podríamos forzar todas las identificaciones de grupo por fuerza bruta en cuestión de minutos”.
Esto significaba que para unirse a un grupo, todo lo que tenía que hacer era ingresar un código de grupo válido, lo que facilitaba espiar su ubicación en tiempo real o espiar conversaciones desde cualquier parte del mundo sin necesidad de permiso de un miembro.
Pen Test Partners encontró el defecto porque algunos de sus investigadores son entusiastas esquiadores, pero luego descubrieron el mismo problema también en los cascos de bicicleta “inteligentes” de Livall.
Los cascos de bicicleta de Livall hicieron que el problema fuera más significativo. Sólo hay unos pocos miles de usuarios de los cascos de esquí inteligentes de Livall, en comparación con alrededor de un millón de su equivalente en bicicleta.
Los intentos de los investigadores de seguridad de obtener una respuesta de Livall sobre la falla parecían haber caído en oídos sordos hasta que TechCrunch El editor de seguridad Zack Whittaker planteó el problema a la empresa. El 5 de febrero, Livall anunció una nueva versión de la aplicación que utiliza códigos alfanuméricos de seis caracteres en lugar de códigos numéricos de seis dígitos, lo que aumenta significativamente la dificultad de explotar el problema.
Uno esperaría que una aplicación actualizada requiera que los miembros existentes del grupo aprueben nuevas incorporaciones, en lugar de permitir que otros se unan accidentalmente o sin permiso.
Si posee un casco inteligente Livall para sus viajes de esquí o excursiones en bicicleta, asegúrese de actualizar su aplicación desde la tienda oficial de Google Play o iOS App Store.
