Auditar la seguridad de juguetes inteligentes
Todo empieza cuando estábamos de vacaciones y decidí entrar a una juguetería con mi esposa y mi hija, estábamos viendo los productos, cuando pasó lo inevitable… la pequeña se enamoró de una muñeca.
A simple vista la muñeca parecía normal, me puse a mirar la caja para cuestionarme la compra y me llamó la atención una etiqueta que decía, "I’ll call you, Just download the APP" algo así como "Te llamaré, Solo descarga la APP", la muñeca era la Gabby Chatsters Interactive Doll y en ese momento no se la compramos porque era para niñas de más de 5 años y sus frases estaban todas en inglés, pero tomé nota de la aplicación para examinarla después.
Cuando empezaron a salir las noticias por todos lados (hasta medios nacionales se hicieron eco) sobre los juguetes que ponían en riesgo la privacidad de los niños, recordé la muñeca y busqué la aplicación (para iOS y Android), la bajé y empecé a analizarla de forma estática (basado en el código fuente) y dinámica (analizando la aplicación en ejecución), aunque la aplicación solicitaba una gran cantidad de permisos en el teléfono (cámara, internet, micrófono, alarmas, entre otros) solo revisando el código fuente y detallando el anuncio del juguete me di cuenta de su verdadero funcionamiento.
Lo primero que me pareció raro es que pedía permisos de Internet, pero no hacia conexiones a servidores propios, lo que me causo curiosidad, me puse a revisar un poco más y me di cuenta que el permiso de Internet se usaba para el modulo de publicidad (admob) y de estadísticas del framework de desarrollo (unity), lo que me generó la pregunta ¿qué hacen con los datos recolectados por estos sistemas?, encontraría la respuesta literalmente en la palma de mi mano, presionando el botón "privacy policy" de la misma aplicación, donde a grandes rasgos nos dicen que van a recolectar información de nuestros hijos de diferentes formas, la podrán compartir con terceros dentro y fuera de los Estados Unidos y que podrán cambiar las políticas de privacidad cuandoles dé la gana quieran.
Contenido completo en fuente original DragonJAR
A simple vista la muñeca parecía normal, me puse a mirar la caja para cuestionarme la compra y me llamó la atención una etiqueta que decía, "I’ll call you, Just download the APP" algo así como "Te llamaré, Solo descarga la APP", la muñeca era la Gabby Chatsters Interactive Doll y en ese momento no se la compramos porque era para niñas de más de 5 años y sus frases estaban todas en inglés, pero tomé nota de la aplicación para examinarla después.
Cuando empezaron a salir las noticias por todos lados (hasta medios nacionales se hicieron eco) sobre los juguetes que ponían en riesgo la privacidad de los niños, recordé la muñeca y busqué la aplicación (para iOS y Android), la bajé y empecé a analizarla de forma estática (basado en el código fuente) y dinámica (analizando la aplicación en ejecución), aunque la aplicación solicitaba una gran cantidad de permisos en el teléfono (cámara, internet, micrófono, alarmas, entre otros) solo revisando el código fuente y detallando el anuncio del juguete me di cuenta de su verdadero funcionamiento.
Lo primero que me pareció raro es que pedía permisos de Internet, pero no hacia conexiones a servidores propios, lo que me causo curiosidad, me puse a revisar un poco más y me di cuenta que el permiso de Internet se usaba para el modulo de publicidad (admob) y de estadísticas del framework de desarrollo (unity), lo que me generó la pregunta ¿qué hacen con los datos recolectados por estos sistemas?, encontraría la respuesta literalmente en la palma de mi mano, presionando el botón "privacy policy" de la misma aplicación, donde a grandes rasgos nos dicen que van a recolectar información de nuestros hijos de diferentes formas, la podrán compartir con terceros dentro y fuera de los Estados Unidos y que podrán cambiar las políticas de privacidad cuando
Contenido completo en fuente original DragonJAR
Via: blog.segu-info.com.ar
Auditar la seguridad de juguetes inteligentes
Reviewed by Zion3R
on
10:04
Rating: