• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar
Altavoces Bluetooth pueden escuchar y grabar tus conversaciones

08/04/2019

DESCRIPCIÓN

Recibimos una consulta por parte de una ciudadana quien aseguró haber sido víctima de acoso cuando comenzó a recibir una serie de mensajes extorsivos en la cual una persona afirmaba conocer todo sobre su intimidad y solicitaba, a cambio de no divulgar esta información, videos y fotos íntimas.

En un primer momento, la usuaria ignoró los mensajes pero luego al comenzar a recibir amenazas a través un altavoz inalámbrico bluetooth ubicado en su dormitorio, decidió elevar el caso al BA-CSIRT para recibir indicaciones sobre cómo actuar ante esta situación.

FICHA TÉCNICA


¿QUÉ FUE LO QUE PASÓ?

Luego de trabajar en conjunto con la fiscalia correspondiente, en el laboratorio del BA-CSIRT nos encargamos de analizar los dispositivos relacionados con la investigación, de los cuales pudimos determinar:

El altavoz bluetooth era el modelo FREI de la marca THONET & VANDER, cuyo firmware presenta una mala implementación del protocolo de comunicación bluetooth, debido a lo cual de expone un conjunto de vulnerabilidades que permitirían a un potencial atacante tomar control del dispositivo.

Esto se debe a que el altavoz no verifica la identidad del dispositivo que intenta establecer la conexión con él. Tampoco permite configurar un PIN u otra medida de seguridad que restrinja el uso del dispositivo por parte de un tercero. Por lo tanto, es trivial para un usuario mal intencionado hacerse con el control del altavoz.

Una vez ejecutado el ataque, el dispositivo puede usarse para reproducir sonidos sin la expresa autorización el dueño del mismo o bien, puede utilizarse como un micrófono bluetooth.

¿QUÉ HACEMOS PARA QUE NO NOS SUCEDA?

Recomendamos verificar que los dispositivos de conexión inalámbrica cuenten con los apropiados medios de autenticación que permitan garantizar que solamente el legítimo dueño tenga acceso a los dispositivos en cuestión.

Asimismo, recomendamos establecer una contraseña de caracter robusto para evitar que la misma pueda ser fácilmente deducida por personas malintencionadas.

No es recomendable el uso de números de documento de identidad, fechas de eventos significativos (cumpleaños, casamiento, aniversario, conmemoraciones, etc.), nombres de familiares o mascotas, domicilios, o cualquier dato de público conocimiento, a la hora de generar una clave de acceso.

Tu opinión nos ayuda a seguir creciendo.

Seleccioná la cantidad de estrellas que consideres apropiada.