[ad_1]
El fabricante de un popular casco inteligente para esquiar y andar en bicicleta ha solucionado una falla de seguridad que permite rastrear fácilmente la ubicación en tiempo real de cualquier persona que use sus cascos.
Livall fabrica cascos conectados a Internet que permiten a grupos de esquiadores o ciclistas hablar entre sí utilizando el altavoz y el micrófono integrados del casco y compartir su ubicación en tiempo real con el grupo de un amigo utilizando las aplicaciones para teléfonos inteligentes de Livall.
Ken Munro, fundador de la firma británica de pruebas de ciberseguridad Pen Test Partners, dijo que las aplicaciones para teléfonos inteligentes de Livall tenían un defecto simple que permitía un fácil acceso a los chats de audio y a los datos de ubicación de cada grupo. Según Munro, las dos aplicaciones, una para esquiadores y otra para ciclistas, tienen alrededor de un millón de usuarios combinadas.
En el centro del error, Munro notó que cualquier persona que use las aplicaciones de chat de audio grupal de Livall y comparta su ubicación debe ser parte del mismo grupo de amigos, al que solo se puede acceder usando el código numérico de seis dígitos de ese grupo.
«Este código de grupo de seis dígitos simplemente no es lo suficientemente aleatorio», dijo Munro en una publicación de blog que describe el error. «Podríamos forzar por fuerza bruta todas las identificaciones de grupos en cuestión de minutos».
Esto permitió que cualquiera pudiera acceder a cualquiera del millón de posibles permutaciones de códigos de chat grupal.
«Una vez que ingresaste un código de grupo válido, automáticamente te uniste al grupo», dijo Munro, y agregó que esto se hizo sin alertar a otros miembros del grupo.
«Como resultado, fue fácil unirnos a un grupo de forma silenciosa, lo que nos dio acceso a la ubicación de cada usuario y la capacidad de escuchar las comunicaciones de audio de cada grupo», dijo Munro. «La única forma de detectar un usuario de grupo fraudulento era que el usuario legítimo buscara a los miembros de ese grupo».
Munro y sus colegas de investigación de seguridad no son ajenos a encontrar fallas oscuras pero a menudo simples en productos conectados a Internet, como alarmas de automóviles, aplicaciones de citas y juguetes sexuales. La compañía descubrió en 2021 que Peloton estaba exponiendo la información de la cuenta privada de los usuarios debido a una API con fugas, en la que TechCrunch se enorgullecía de ser conejillo de indias.
Después de contactar a Livall para obtener más información, Munro proporcionó detalles del error el 7 de enero, pero no recibió respuesta ni confirmación de la empresa.
Dado el riesgo para los usuarios que no esperan que se solucione el error, Munro informó sobre el error a TechCrunch y TechCrunch se comunicó con Livall para solicitar comentarios.
Cuando contactamos por correo electrónico, el fundador de Livall, Bryan Zheng, se comprometió a arreglar la aplicación dentro de las dos semanas posteriores a nuestro correo electrónico, pero se negó a eliminar las aplicaciones de Livall mientras tanto.
TechCrunch retuvo este informe hasta que Livall confirmó que el error se había solucionado en las actualizaciones de la aplicación publicadas esta semana.
En un correo electrónico, Richard Yi, jefe de investigación y desarrollo de Livall, dijo que la compañía ha mejorado la aleatoriedad de los códigos de grupo al agregar letras y notificaciones para los nuevos miembros que se unen a los grupos. Yi también dijo que la aplicación ahora permite deshabilitar la ubicación compartida a nivel de usuario.
[ad_2]