Nils Rollshausen, de la Universidad Técnica de Darmstadt, presentó en el 39º Congreso de Comunicación Caótica (39C3) en Hamburgo graves vulnerabilidades en los relojes inteligentes para niños del fabricante noruego Xplora. La presentación, “Watch Your Kids: Inside a Children’s Smartwatch”, se basó en gran medida en el trabajo de un estudiante de máster que analizó sistemáticamente la arquitectura de seguridad. Los relojes se venden no solo en Noruega, sino en todo el mundo, con más de 1,5 millones de unidades vendidas, según sus propias cifras. En Alemania, se ofrecen, entre otros, en paquetes promocionales de Telekom.
Siga leyendo después del anuncio
“Somos una bruja come-niños”
Rollshausen eligió un marco narrativo inusual: “Para los fines de esta charla, somos una bruja come-niños que vive en el bosque”. El problema de la bruja: antes, los niños simplemente caminaban hacia la cabaña, pero hoy todos llevan rastreadores GPS y los padres pueden encontrarlos. “Si no queremos morir de hambre, supongo que tendremos que investigar un poco”.
El acceso se logró a través de documentos de aprobación de la FCC, en los que aparecían fotos de un cargador de desarrollador con cuatro pines en lugar de dos. Los investigadores construyeron un adaptador, y efectivamente, el reloj se reportó como un dispositivo USB.
Para el modo de depuración, se preguntaron: “¿Cuál es la solución más tonta posible?”. Pulsar repetidamente el número de versión, como se hace normalmente con Android. Funcionó. Luego apareció un campo PIN. Mientras Rollshausen pensaba en ataques automatizados, el estudiante de máster fue a casa y probó manualmente cada combinación de cuatro dígitos durante dos horas, encontrando la correcta.
Claves estáticas permiten acceso total
Dado que el reloj, con el acceso de depuración activado, se comportaba como un dispositivo Android normal, los investigadores pudieron extraer aplicaciones de fabricante con herramientas estándar. Allí encontraron el problema principal: la autenticación se basaba en secretos estáticos en el firmware.
En combinación con datos de acceso público, como marcas de tiempo y números de serie, los atacantes podían generar claves API válidas para cualquier reloj, y así hacer todo lo que el reloj real también puede hacer.
Siga leyendo después del anuncio
Teletransportar niños virtualmente a Pyongyang
En vivo, Rollshausen demostró las posibles consecuencias, continuando desde la perspectiva de la bruja:
- Leer mensajes: “Muy útil para la comunicación”
- Enviar mensajes falsos: “Para que los niños sepan dónde encontrarnos, porque están tan ocupados con sus teléfonos que ya no encuentran el bosque”
- Manipular la ubicación: Según Rollshausen, esta manipulación requiere dos intentos. Pero luego funciona la “teletransportación”: el niño de repente se encontraba en Pyongyang, Corea del Norte, o en cualquier otro lugar elegido.
- Restablecer los relojes de forma remota: “No se ve muy interesante en la pantalla”, admitió, antes de que el reloj en el escenario se apagase
“Esto está a un bucle for de comprometer todos los relojes con este modelo. Y hay muchos relojes”, dijo Rollshausen.
Comunicación tenaz con el fabricante
La divulgación de las vulnerabilidades fue inicialmente difícil. El programa de divulgación de vulnerabilidades en el sitio web tenía un enlace incorrecto, los correos electrónicos quedaron sin respuesta, hasta aproximadamente una semana antes del 39C3-Talk.
Una actualización de firmware en agosto generó nerviosismo en Rollshausen: ¿seguiría funcionando el acceso de depuración? Como precaución, Rollshausen instaló una aplicación propia que llamaba directamente al menú de depuración. Esta medida resultó ser sensata, ya que el PIN anterior ya no era válido. El análisis mostró que el PIN ahora constaba de seis en lugar de cuatro dígitos y que el sistema se bloqueaba después de tres intentos fallidos. Sin embargo, las vulnerabilidades reales no habían cambiado. “Ni siquiera rotaron las credenciales”, dijo Rollshausen.
La actualización de firmware de octubre también solo requirió ajustes mínimos a los exploits existentes. Solo poco antes del congreso, Xplora tomó contacto directo. En una conversación el 22 de diciembre, la empresa aseguró que corregiría las causas con una actualización en enero de 2026. Además, se revisó el programa de divulgación y el estudiante de máster involucrado recibió una remuneración por errores “considerable”.
Signal en el reloj infantil
Como solución irónica, Rollshausen mostró el mensajero Signal en un reloj Xplora: “Tuve que dividir todos los valores por diez para que cupieran en la pantalla, pero técnicamente puede ejecutar Signal en el reloj inteligente de su hijo”.
El mensaje: “Podemos trabajar con los fabricantes para que las cosas sean más seguras, pero no tenemos que hacerlo. También podemos simplemente hacer lo nuestro”.
(vza)
