¿Tu propia GoPro espiándote? ¿Retransmitiendo lo que no quieres? Suena como una posibilidad siniestra pero al parecer no sería algo tan difícil.
Una compañía de seguridad le demostró a un equipo de la BBC lo fácil que es tomar remotamente el control de las cámaras GoPro y usarlas para espiar a sus propios usuarios.
La firma PenTest Partners logró acceder a una cámara Hero4 que estaba aparentemente apagada.
Los expertos en seguridad pudieron secretamente ver y escuchar lo que decía el usuario, así como ver y borrar los videos almacenados en la cámara.
De esta forma advirtierten de lo que podrían llegar a hacer mentes criminales con el mismo acceso.
Pero la empresa GoPro dijo que las medidas de seguridad de su producto son adecuadas y siguen los estándares generales de la industria.
Dos problemas
El ataque llevado a cabo por PenTest Partners explota dos vulnerabilidades, ambas relacionadas con el uso de las cámaras GoPro a través de una red de conexión inalámbrica.
Muchos usuarios utilizan una red wifi para usar la cámara con un control remoto o con una aplicación desde sus celulares.
Al hackear la Hero4 los especialistas en seguridad aprovecharon, por un lado, el hecho de que muchos usuarios utilizan contraseñas muy simples, que pueden ser adivinadas en cuestión de segundos con un programa especializado.
Y por otro, el hecho de que las GoPro están configuradas de tal manera que una conexión inalámbrica o wifi puede quedar encendida sin que el usuario lo sepa incluso cuando la cámara está apagada.
Así se lo demostró a la BBC Ken Munro, uno de los socios de la empresa de seguridad.
Munro logró «despertar» al aparato, apagar la luz de grabación y retransmitir en su propio celular lo que la cámara Hero4 capturaba mientras estaba aparentemente apagada.
Para tomar el control de la cámara un criminal tendría primero que interceptar y adivinar la clave encriptada de la red wifi, que determina el propio usuario cuando conecta la cámara a un dispositivo móvil, como su teléfono.
El equipo de Munro lo logró en menos de un minuto utilizando un programa gratuito que está disponible en internet.
El programa prueba miles de posibles contraseñas por segundo, utilizando un diccionario o lista de los 30 millones de palabras más utilizadas.
En el caso demostrado ante la BBC la contraseña era Sausages, salchichas en inglés.
Y una vez que el criminal ya tiene acceso a la conexión wifi de la GoPro, puede controlarla a distancia sigilosamente: puede retransmitir las imágenes tomadas por la cámara a través de un celular, apagando los sonidos y luces que normalmente sierven de alerta si la cámara está en uso.
También puede ver o borrar los videos grabados.
Y dos consejos para evitarlo
La primera recomendación es tan obvia como importante: utilizar contraseñas más seguras en el momento de conectarlas al wifi.
«Los cibercriminales están usando cada vez más y mejores herramientaspara descifrar contraseñas y conseguir acceso a cuentas», advirtió Munro, quien quiere que GoPro inste activamente a sus usuarios a crear códigos más seguros.
La BBC contactó con GoPro para compartir los detalles del ataque.
«Nosotros requerimos que nuestros clientes creen una contraseña de 8 a 16 caracteres de largo. Es decisión suya determinar la complejidad de los mismos», respondió la compañía en un comunicado.
El problema, según destaca Munro, es que los usuarios como normalmente escriben las contraseñas desde sus celulares tienden a crear claves muy sencillas.
El especialista recomienda usar «contraseñas más largas, que no son una palabra del diccionario».
Y el segundo consejo de Munro para proteger la seguridad de tu GoPro es apagar primero la conexión Wifi de la cámara y después la cámara misma.
De esa manera ningún hacker podría «despertarla» y utilizarla mientras está apagada.
Fuente: bbc.co.uk Imagen: reuters