18 de julio de 2016 | Internet de las cosas (IoT)
  • Compartir:

7 pulseras de fitness y el Apple Watch se someten a la prueba de seguridad en 2016

Las pulseras de fitness y los relojes inteligentes están de moda no solo entre los aficionados al deporte. Entretanto, incluso las compañías de seguros médicos fomentan la compra de un tracker o premian su uso, puesto que la gente sana les cuesta menos. Por ello, los expertos de AV-TEST han comprobado lo seguras que son 7 pulseras de fitness y el Apple Watch. El resultado es que algunos fabricantes siguen cometiendo fallos garrafales.

Prueba de seguridad 2016

7 pulseras de fitness y el Apple Watch.

zoom

Los relojes inteligentes y las pulseras de fitness, también llamadas trackers, son populares y actualmente incluso compañías de seguros de todo el mundo, como mínimo, las recomiendan. En Europa, la legislación únicamente permite a las aseguradoras subvencionar estos wearables. En EE. UU. ya hay ofertas con reembolsos de primas si el asegurado puede demostrar sus esfuerzos mediante una pulsera de fitness. Así, por ejemplo, la startup neoyorquina Oscar Health paga 1 dólar al día a los asegurados si cumplen sus objetivos diarios de ejercicio.

A quien ve por primera vez las cifras de ventas de pulseras de fitness, actuales y previstas, se le suele escapar un "¡guau!". Según la empresa IDC, en 2014 ya se vendieron en todo el mundo 26 millones de wearables, en 2015 fueron más de 75 millones y en 2016 se espera que sean más de 100 millones.

Prueba de seguridad con pulseras de fitness

También la ronda de pruebas de este año ha revelado que algunas pulseras de fitness albergan un elevado riesgo para la seguridad. El Apple Watch queda fuera de la enumeración, puesto que fue evaluado aparte, dadas las diferencias de la prueba con Android.

zoom ico
Entorno de la prueba

Las pulseras de fitness se conectaron con el smartphone, se examinaron las aplicaciones de los fabricantes, se intentó engañarlas con una aplicación de prueba y se espiaron las conexiones con un proxy.

zoom ico
Pebble Time

En esta pulsera de fitness se halló el menor número de puntos de riesgo, lo cual indica una gran seguridad (foto: Pebble).

zoom ico
Microsoft Band 2

Si bien la pulsera funciona en el mundo Android, Microsoft hace que su uso sea muy seguro (foto: Microsoft).

zoom ico
Striiv Fusion

Tras acumular 8 de los 10 puntos de riesgo, hay que clasificar la pulsera de fitness como insegura (foto: Striiv).

zoom ico

1

Prueba de seguridad con pulseras de fitness

2

Entorno de la prueba

3

Pebble Time

4

Microsoft Band 2

5

Striiv Fusion

Los trackers siguen albergando grandes riesgos

En esta prueba se examinaron las pulseras de fitness más nuevas y más vendidas, así como el Apple Watch. Todas las pulseras funcionan con la correspondiente aplicación en un móvil Android. Por eso, en la prueba se han compendiado los resultados para el tracker y la aplicación. Además, el laboratorio pone a disposición para la prueba un exhaustivo informe (en inglés) en PDF.

El Apple Watch supone un caso especial. Algunos de los métodos de la prueba no se pueden transferir de Android a iOS. Por eso, la valoración del Apple Watch aparece por separado al final del artículo. Se examinaron los siguientes productos:

- Basis Peak
- Microsoft Band 2
- Mobile Action Q-Band
- Pebble Time
- Runtastic Moment Elite
- Striiv Fusion
- Xiaomi MiBand

- Apple Watch (ver al final del artículo)

Los expertos se habían planteado especialmente dos cuestiones:

1. ¿Desde el punto de vista del usuario privado, están los datos recopilados en el tracker o la aplicación seguros frente al espionaje o la captación por parte de terceros?

2. ¿Desde el punto de vista de las aseguradoras u otras empresas, están los datos del tracker o la aplicación seguros frente a manipulaciones?

El primer punto alude a la posibilidad de que atacantes puedan usar los datos o evaluarlos en contra del usuario. Se trata de datos privados que deben ser protegidos como tales. En el segundo punto se piensa, por ejemplo, en compañías de seguros médicos que recompensan a sus asegurados si alcanzan un objetivo de fitness. Si los datos de una pulsera de fitness o su aplicación se pueden manipular, en algún momento dado se sacará ventaja de ello.

La prueba se dividió en tres secciones para valorar el riesgo

Los ejecutores de la prueba sometieron las pulseras a 10 controles divididos en tres ámbitos: pulsera, aplicación y comunicación online. El gráfico de evaluación del riesgo muestra los ámbitos en los que los candidatos de la prueba tienen problemas y si los expertos consideran que este hecho supone un riesgo. Se ha renunciado explícitamente al uso de los términos fallo o agujero de seguridad, puesto que en los puntos examinados solo existe un mayor o un elevado riesgo de acceso, pero no explícitamente una puerta abierta. Los expertos tampoco intentaron "colarse" por un punto de riesgo. Solo analizaron lo que un atacante podría hacer una vez llegue a tal punto y con qué consecuencias.

Tracker – conexión, autenticación, manipulación

Visibilidad: Todas las pulseras de fitness utilizan Bluetooth para conectarse con el smartphone. En primer lugar se examinaron los clásicos problemas que esto conlleva. Un aspecto relacionado con la seguridad es la invisibilidad para otros dispositivos con Bluetooth. Difícilmente se puede contactar con o seguir a algo que no está ahí. Los dispositivos solo deben estar visibles durante un tiempo determinado si hay un emparejamiento (pairing). Esta seguridad solo la ofrecen las pulseras de Microsoft y Pebble. Mobile Action, si bien pretende que así sea, es localizable.

BLE privacy: El segundo aspecto sobre la seguridad con Bluetooth es la función BLE privacy, que existe a partir de Android 5.0. Con ella, el dispositivo genera continuamente una nueva dirección MAC para la conexión Bluetooth. No da la suya verdadera y por eso no se le puede seguir. Solo la Microsoft Band 2 utiliza esta técnica. El resto la desconoce.

Conectividad: Existen varias posibilidades para conectar un dispositivo. Una muy segura es un Bluetooth pairing o emparejamiento exclusivo (es decir, la pulsera solo permite establecer conexión con un único móvil conocido), método que en la prueba solo fue utilizado por Basis Peak y Microsoft Band 2. La Pebble Time permite la conexión con varios dispositivos, pero el usuario tiene que confirmarlos manualmente; este también es un método seguro. La Xiaomi MiBand opta por una opción sencilla, pero segura. Tras un emparejamiento con éxito, deja de estar visible y no permite ninguna otra conexión. Solo las pulseras de Striiv, Runtastic y Mobile Action carecen de una técnica fiable para evitar las conexiones con dispositivos ajenos.

Autenticación: Por si un móvil ajeno consiguiera conectarse con la pulsera, algunos productos cuentan con otro dispositivo de seguridad, la autenticación. Solo 3 de los 7 productos aplican de forma consecuente esta segunda barrera de seguridad: Basis Peak, Microsoft Band 2 y Pebble Time. Xiaomi también utiliza esta técnica, pero aun así del acceso podría sortearse con facilidad, y, por tanto, puede resultar inefectivo. Los otros 3 productos renuncian a esta seguridad adicional o la aplican de forma insuficiente.

Protección contra la manipulación: Este punto es tan interesante para los usuarios como para, por ejemplo, las compañías aseguradoras o los tribunales que confían en la autenticidad de los datos. Por eso se comprobó si las pulseras aseguraban de algún modo la integridad de los datos almacenados o protegían el acceso a los mismos. La protección debe estar diseñada de modo que impida tanto el acceso de extraños como la manipulación de los datos por parte del propietario del móvil. Solo los productos de Basis, Microsoft, Pebble y Xiaomi cuentan con una protección general en este sentido. No obstante, es fácil engañar al dispositivo de Xiaomi debido a la débil autenticación. Esto permite que un extraño pueda hacer que la pulsera vibre, cambie los datos de la alarma o incluso restablezca la configuración de fábrica de la pulsera.

Las pulseras de fitness de Striiv y Mobile Action no usan ninguna autenticación adecuada y efectiva u otro mecanismo de protección y son vulnerables a las manipulaciones. En el caso de Striiv Fusion, los valores de las medidas corporales del usuario se podían cambiar por valores sobrehumanos. Estos revierten directamente en el cálculo de la distancia y el consumo de calorías. En el caso de la pulsera de Mobile Action, en la prueba también se pudo cambiar la información guardada sobre el peso, altura, longitud de paso, etc. Estos valores también se incluyeron directamente en el cálculo del consumo de calorías y de la distancia recorrida.

La aplicación – seguridad y control de código

Almacenamiento local: Aunque la tecnología de un tracker sea segura, la aplicación correspondiente en el móvil podría ser un punto débil. Por eso se comprobó si las aplicaciones guardan en el móvil datos que son accesibles para otras aplicaciones. Las funciones de seguridad de dispositivos Android no rooteados, en realidad, impiden este acceso. Pero si los datos se guardan en el lugar erróneo, entonces están al alcance de todos. Este fallo solo lo comete la Xiaomi MiBand, que guarda un extenso archivo de registro sobre toda la actividad de la aplicación en un área totalmente abierta. En este Log se hallan todos los datos transferidos, así como información sobre el usuario, alias, medidas corporales y mucho más, que también es utilizada en el proceso de autenticación.

Ofuscación de código: El segundo control comprueba si las aplicaciones están bien programadas, en concreto, si las aplicaciones encubren el código. Esta técnica se denomina ofuscación e impide la ingeniería inversa para ocultar información útil si el dispositivo es atacado. Las aplicaciones de Mobile Action, Pebble y Xiaomi utilizan esta técnica por completo. Llamaron la atención las aplicaciones de Basis y la Runtastic, que no aplican la ofuscación de forma consecuente, lo cual puede ayudar a los atacantes. Los productos de Microsoft y Striiv no recurren para nada a la ofuscación. Esto permite a los especialistas analizar una aplicación.

Información de archivos Log y Debug: Otro fallo de programación es la entrega de información de registro y depuración de errores (log y debug). En ocasiones se incluye tanta información relevante que con ella se pueden anular otros mecanismos de protección. La única aplicación que hace un buen trabajo al respecto es la de Mobile Action. Todas las demás aplicaciones escupieron información durante la prueba que haría las delicias de cualquier atacante.

Comunicación online segura

La última comprobación se centró en todas las conexiones que establece la aplicación. ¿Son posibles las escuchas o tiene lugar la comunicación incluso sin codificar? En tal caso, ¿qué información se envía? La buena noticia es que todas las conexiones que deberían estar codificadas, lo están. Las conexiones HTTP abiertas interceptadas no tenían valor y, por ello, no estaban codificadas.

También se comprobó si, tras la instalación de un certificado Root, era legible el contenido de una conexión segura. Este examen es importante puesto que, de este modo, un usuario podría manipular los datos enviados. Los productos de Basis y Pebble demuestran que es posible hacerlo de forma segura. Ambas están suficientemente equipadas para repeler los ataques. En el caso de los demás productos se pudieron leer las conexiones seguras y, en parte, también manipularlas. Fue posible leer incluso datos de autenticación y sincronización.

Conclusión: deporte, diversión y falta de seguridad

En la prueba actual se ha constatado que muchos fabricantes siguen cometiendo fallos similares a los de la primera prueba con pulseras de fitness del año pasado. Con frecuencia no prestan suficiente atención al aspecto de la seguridad. La valoración del riesgo muestra que los productos que funcionan de forma más segura son Pebble Time, Basis Peak y Microsoft Band 2. Cometen pequeños fallos, pero, en total, son los que ofrecen menos margen para ataques y manipulaciones. Estamos seguros de que, tras esta prueba, los fabricantes corregirán algún que otro pequeño defecto mediante actualizaciones del firmware.

La pulsera de fitness de Mobile Action acumula algunos factores de riesgo más. Hace creer al usuario que es invisible para los demás, pero no es así. Tampoco cubre los aspectos de la autenticación y la protección contra manipulaciones. Durante la prueba fue posible manipular datos del usuario por la puerta trasera.

El trío Runtastic, Striiv y Xiaomi fue el que más factores de riesgo acumuló; entre 7 y 8 puntos de riesgo de los 10 posibles. Es relativamente fácil seguir a los productos, no hacen uso o usan de manera inconsecuente la autenticación y la protección contra manipulación, el código de las aplicaciones no se encubre o no lo suficiente y también las transmisiones se pueden leer y manipular con certificados Root. Lo peor es que la Xiaomi guarda todos los datos acumulados en el móvil sin protección. El extenso estudio sobre seguridad realizado para la prueba de las pulseras de fitness puede leerse también en este archivo PDF (en inglés), que ha elaborado el laboratorio.

Prueba de seguridad de Apple Watch

El Apple Watch como pulsera de fitness (foto: Apple).
El Apple Watch como pulsera de fitness (foto: Apple).

El Apple Watch también hace la labor de una pulsera de fitness en combinación con un iPhone. ¿Pero trata este también los datos de forma segura o se puede acceder a ellos?

La prueba realizada con el Apple Watch está estructurada básicamente igual que la de los dispositivos Android. Sin embargo, iOS y Android se diferencian en algunos aspectos, de modo que no se pudo realizar la prueba de algunos factores de riesgo, mientras otros no son relevantes para el dispositivo de Apple. Por eso, en cuanto a la pulsera, el laboratorio solo controló los aspectos de la visibilidad controlada, la función BLE privacy y la conectividad controlada. En lo relativo a la comunicación online se comprobó si las conexiones tienen lugar de forma codificada y si los resultados se pueden manipular con certificados Root.

El usuario puede controlar la visibilidad vía Bluetooth. Es decir, que no se puede seguir el Watch continuamente. Interesante resultó la prueba de la BLE privacy. El Apple Watch debía mostrar una dirección MAC diferente cada vez que se reactivara el Bluetooth. Esto hace que sea prácticamente imposible seguirlo. En la prueba esto fue así una y otra vez. No obstante, si se activa y desactiva el modo avión, el Apple Watch muestra siempre la verdadera dirección MAC al dispositivo Bluetooth. Esto no debería pasar.

En el caso de la conectividad controlada, Apple hace uso de una protección antirrobo especial. Una vez que el Watch se ha conectado con una cuenta, requiere mucho esfuerzo volver a separarlos. Ni tan siquiera es posible hacerlo restableciendo la configuración de fábrica. Si un ladrón vendiera, por ejemplo, el reloj inteligente, el nuevo usuario no podría sincronizarlo con su propio iPhone.

Apple Watch funciona casi siempre con conexiones codificadas, que están aseguradas adicionalmente. Sin embargo, se realizó, por ejemplo, una actualización a través de HTTP sin codificar.

Durante las conexiones codificadas, pero sin seguridad adicional, los expertos pudieron leer algunas cosas. Las líneas de texto incluían los geodatos de la ubicación del usuario, ¡inclusive el número de la casa! Más adelante en la prueba se instaló, al igual que en los dispositivos Android, un certificado Root. A continuación fue posible leer muchas de las conexiones. De este modo, el usuario tiene un mayor acceso a los datos y puede manipularlos.

En general, se constató la elevada seguridad del Apple Watch. En teoría, los expertos también detectaron superficies de ataque, pero el esfuerzo requerido por parte del atacante para acceder al Watch sería muy grande.

Social Media

¡Nos gustaría mantenernos en contacto con usted! Reciba de manera sencilla y periódica las noticias actuales y las publicaciones sobre pruebas.