Recolección De Datos A Través De Tablets De Wacom
Recientemente se ha publicado un estudio sobre las tablets de la marca Wacom en el que se confirma que éstas recolectan datos de todas las aplicaciones que se abren desde el dispositivo.
Este estudio ha sido publicado por el ingeniero Robert Heaton (@robjheaton) en su propia página web, en la que ha descrito la investigación en cinco pasos explicados a continuación.
Primer paso: el “descubrimiento”
Heaton observó que el software de la tablet le pedía confirmación para aceptar las políticas de privacidad, momento en el que el ingeniero se preguntó el porqué de esta solicitud ya que, como él mismo indica en su web, una tablet es casi lo mismo que un ratón de ordenador.
Tras este razonamiento, Heaton comenzó la investigación con la lectura del documento de las políticas de privacidad de Wacom, donde descubrió que en el punto tres se habla sobre la información recolectada automáticamente, cuyo objetivo final es la resolución de problemas y/o ayuda en el desarrollo de sus productos utilizando el servicio de Google Analytics.
Segundo paso: el “husmeo”
Heaton comenzó esta fase buscando en Google “wacom google analytics”, lo que le llevó a descubrir que varios usuarios estaban descontentos con la política de privacidad de la empresa. Ninguno de ellos sabía qué datos se estaban analizando realmente, lo que llevó al investigador a pensar que, como muchos otros programas, el software de Wacom daría la opción de utilizar un proxy para el envío de los datos recolectados, asumiendo que así podría utilizar una herramienta como Burp Suite para analizarlos, aunque esto no pudo ser ya que dicha opción no estaba disponible, momento en el que Heaton buscó otra alternativa.
Tercer paso: uso de Wireshark
Wireshark permite analizar el tráfico que se genera a partir de nuestro dispositivo, de manera que se puede observar qué datos se están enviando a través de la interfaz de red.
A pesar de que Heaton no pudo ver el contenido puesto que éste se envía cifrado, sí pudo observar que, efectivamente, la aplicación de Wacom utilizaba los servicios de Google Analytics por medio de una petición DNS.
Con esta información dio inicio a su cuarto paso, explicado a continuación.
Cuarto paso: Burp Suite
Heaton volvió a intentarlo una vez más con Burp Suite, software que utilizó como servidor proxy para que las peticiones del software de Wacom pasaran por él y, aunque tuvo muchas dificultades debido a que el certificado no era válido para Wacom, posteriormente consiguió uno que sí lo era haciendo uso del llavero de claves de OSX.
Después de reiniciar el controlador de Wacom, Heaton consiguió ver la información que se estaba recopilando. El resultado fue que Wacom recolectaba datos de todas las aplicaciones que se iniciaban en el dispositivo, junto a la hora en la que se abría dicha aplicación y una cadena que el investigador presupone que puede ser un identificador de usuario.
Quinto paso: el análisis
En este punto Heaton contrastó la legalidad y la moralidad de las acciones llevadas a cabo por la compañía. El investigador hace una reflexión en la que plantea lo siguiente: ¿qué pasaría si de repente el sistema comenzara a obtener información de aplicaciones con datos que pudiese ser potencialmente conflictiva por revelar secretos y/o presentar contenido de carácter privado?
Heaton, al inicio de este informe y apelando a que no es periodista, no ha requerido ningún comentario por parte de Wacom, aunque la compañía sí le ha respondido en un tweet que ya no está disponible alegando que «en los dispositivos Mac han agregado recientemente características de seguridad y utilizan esta información para mantener el equipo a salvo de aplicaciones no descargadas desde la tienda de aplicaciones«. Tema muy discutible es que esté o deba de estar en el ámbito de Wacom.
No es la primera vez que el tema de las políticas de privacidad y los datos recolectados hacen cambiar la forma de trabajar de las empresas; ya pasó con Alexa de Amazon y Siri de Apple, y por ahora quedamos pendientes de ver qué ocurre con Wacom.
Más información:
Wacom drawing tablets track the name of every application that you open
Twitter de Robert Heaton
Wacom Experience Program Privacy Policy
Via: unaaldia.hispasec.com