Más problemas para VTech: 190 GB de fotos y audio extraídos, y críticas a la seguridad de su app

Más problemas para VTech: 190 GB de fotos y audio extraídos, y críticas a la seguridad de su app
Sin comentarios Facebook Twitter Flipboard E-mail

El fin de semana nos enteramos del hackeo sufrido por la empresa VTech en sus servidores y cómo un hacker había logrado acceder a los datos personales de casi 5 millones de padres y más de 200.000 niños. Ese, no obstante, no ha sido el final de la historia.

El mismo hacker que lograba esos datos ha comentado que además en ese acceso fue capaz de descargar 190 GB de fotos y ficheros de texto y audio grabados con los juguetes electrónicos del fabricante. Y no solo eso: un experto en seguridad añadía que la aplicación para Android es también insegura a la hora de transferir los datos entre ella y esos servidores.

Acceso indiscriminado a fotos de niños y padres

Los 190 GB de datos proceden del servicio Kid Connect, que permite a los padres usar una aplicación en sus smartphones para chatear con sus hijos si usan una tablet de VTech. Entre las opciones de este cliente de mensajería está la de tomar una foto del usuario para guardarla en su perfil.

El hacker detectó decenas de miles de fotos de padres y niños y envió una muestra de casi 4.000 de ellas a Motherboard para verificar su descubrimiento, pero también indicó que no pretendía publicar o vender esos datos. "Francamente, me pone enfermo haber logrado todo este material", comentaba este experto en seguridad. Entre los datos también estaban mensajes intercambiados entre padres e hijos, así como ficheros de audio grabados con las aplicaciones de estos dispositivos.

El problema se extiende a la aplicación para Android relacionada con el servicio, VTech Kid Connect (disponible en Google Play) que otro experto en seguridad con el alias slipstream/RoL logró estudiar por ingeniería inversa y en la que detectó problemas graves en el código Javascript con el que estaba desarrollada.

El primer problema era el que nombre de usuario era almacenado con un hash MD5 que usaba siempre la misma cadena: o bien "vtech" o bien "vtechvtech", algo que hacía que este algoritmo que ya ha sido criticado por su debilidad sea aún más propenso a no proteger debidamente esos datos.

Pero además de ello al enviarse fotos y grabaciones de audio la aplicación combina la hora y fecha con un generador pseudoaleatorio de números, algo que según este experto "es un método criptográficamente inseguro". Este tipo de generadores "son más propensos a producir números repetidos (por ejemplo tras 65.000 imágenes)", explicaba, algo que hacía también bastante inseguro la protección de estos datos tan sensibles. Como slipstream/RoL comentaba "veamos, usa un cifrado malo, envía el hash en el inico de sesión, y fue hackeado. Sí, no tiene buena pinta".

Vía | Motherboard
En Xataka | Hackers hackeados: 400GB de datos filtrados, el CNI y la Policía Nacional supuestos clientes

Comentarios cerrados
Inicio