ACTUALIZAR: Tom's Guide recibió una declaración de TrackR, que reproducimos en parte a continuación:
"Con respecto a la afirmación de que recuperar TrackR no requiere autenticación, conocimos este problema y lo solucionamos hace varios meses. Después de ese tiempo, la llamada obsoleta permaneció en línea, pero ninguna aplicación ya la usaba. Estamos agradecidos de que Rapid7 nos haya llamado la atención sobre este posible punto de confusión; A partir de ayer, esa llamada se eliminó por completo, pero ningún consumidor ha tenido acceso desde que nos enteramos de este problema en la primavera.

Con respecto a la afirmación de que las contraseñas se almacenan en texto sin formato en el almacén de datos de iOS, tan pronto como nos dimos cuenta de esto ayer, tomamos medidas con una actualización de iOS ya enviada.

Con respecto a la afirmación de que el envío de llamadas de datos de TrackR no es seguro, tan pronto como nos dimos cuenta de esto ayer, nuestro equipo de ingenieros diseñó una solución que se aplicará a fines de la próxima semana (semana de octubre 31).

Con respecto a la afirmación de que TrackR transmite un identificador único, esto es por diseño. Esto permite que la aplicación TrackR sea más eficiente en cuanto a energía para realizar actualizaciones de Crowd GPS. Esta es una función común en todos los dispositivos de rastreo con capacidades Crowd GPS. No hay datos de usuario almacenados en el dispositivo y habilitar la conexión solo permite que los usuarios cercanos hagan sonar el dispositivo. Cuando el dispositivo está cerca del usuario, el dispositivo no se anuncia ".


ORIGINAL: Los rastreadores Bluetooth son una bendición para los olvidadizos perpetuos, ya que permiten a los usuarios localizar llaves, carteras, relojes y cualquier otro objeto pequeño que se pierda fácilmente en las proximidades. Estos dispositivos inocuos pueden no parecer una gran amenaza, pero el viejo refrán es cierto: "Si tiene un sistema operativo, puede ser pirateado". Eso resulta que tres rastreadores Bluetooth populares pueden exponer su contraseña y ubicación cuando se emparejan con su teléfono, y puede que no sea fácil reparar.

Esta información proviene de una empresa de seguridad con sede en Boston. Rapid7, que recientemente publicó una investigación sobre los rastreadores en su blog comunitario. Los investigadores Deral Heiland y Adam Compton pusieron el TrackR Bravo, el iTrack Easy y el Zizai Tech Nut (sí, realmente hay un rastreador de Bluetooth llamado "Nut") y descubrió vulnerabilidades de seguridad bastante significativas en cada uno.

MÁS: Las mejores aplicaciones y software antivirus

El TrackR Bravo parecía ser el dispositivo más comprometido de los tres. Si bien el dispositivo requiere una contraseña para funcionar, también muestra esa contraseña en texto claro y no cifrado en su caché. Dado que los usuarios suelen reutilizar las contraseñas (especialmente en dispositivos pequeños que no requieren inicios de sesión frecuentes), el riesgo es evidente.

TrackR Bravo también permite a los usuarios no autorizados descubrir un ID de seguimiento y una dirección MAC con cualquier dispositivo cercano y una aplicación de seguimiento Bluetooth. Utilizado junto con dos vulnerabilidades más, acceso no autenticado y emparejamiento, un usuario inteligente con el acceso a solo un teléfono inteligente simple podría rastrear los movimientos del GPS de un usuario a través de su etiqueta Bluetooth artilugio.

Si bien las vulnerabilidades en iTrack Easy no eran tan graves, es posible que aún no sea un dispositivo con el que quieras caminar. Al igual que el TrackR Bravo, revela su ID de seguimiento y su dirección MAC a cualquier aplicación de seguimiento Bluetooth que pase. Además, no oculta los datos del GPS del usuario, lo que significa que, si bien no transmite exactamente a dónde se dirige, un ciberdelincuente inteligente podría detectarlo con bastante facilidad.

Al menos iTrack Easy protege su contraseña, algo así. Al igual que el TrackR bravo, el caché muestra la contraseña de iTrack Easy, aunque de forma cifrada. Desafortunadamente, el cifrado es una codificación simple Base64, que es trivial de romper.

El Zizai Tech Nut es posiblemente el peor de los tres. No solo muestra una contraseña de texto sin cifrar en la caché, como el TrackR Bravo, sino que ni siquiera usa un cifrado HTTPS simple para sus sesiones de comunicación. En cambio, los usuarios pueden acceder directamente a un sitio web HTTP, que contiene información de autenticación reutilizable. Finalmente, el dispositivo es vulnerable al emparejamiento no autorizado, lo que significa que cualquier persona en un área concurrida podría secuestrarlo. Dado que el dispositivo tiene función de alarma, identificar a su propietario en la calle sería trivial.

Los rastreadores de Bluetooth son dispositivos pequeños sin un marco fácil para las actualizaciones de firmware, por lo que si compró uno, es posible que se quede atrapado con sus vulnerabilidades inherentes. Por otro lado, el riesgo relativo es bajo; cada una de estas vulnerabilidades requiere un exploit algo sofisticado (o al menos lento) de un experto en seguridad. Francamente, hay formas más fáciles de robar la contraseña de un usuario o levantar su billetera.

Por otro lado, hay buenas noticias. Rapid7 también probó el popular rastreador Tile y no encontró vulnerabilidades en él. Hay al menos una forma segura de encontrar sus llaves.

  • 20 mejores aplicaciones de la tienda de Windows
  • Herramientas de limpieza de PC para acelerar su computadora
  • 15 mejores aplicaciones móviles de privacidad y seguridad

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.