Un especialista encontró datos sensibles en GPS de reventa y llamó la atención a los fabricantes
Viejos equipos GPS adquiridos en una casa de compraventa de productos usados le permitieron al experto en ciberseguridad Matías Soler reconstruir, en sus ratos libres, desde el recorrido de una flota de camiones a lo largo del tiempo hasta la ubicación de los galpones de la empresa y los “docks” de carga, entre otros datos sensibles.
Este trabajo de “ingeniería inversa” permite obtener información que queda almacenada no solo en dispositivos GPS, sino también en aparatos como relojes inteligentes o televisores con Internet, y es un llamado de atención para los fabricantes, que “deberían brindar alguna información para que el usuario se asegure de que sus datos no queden guardados” en equipos viejos, reflexionó Soler.
Esta mañana contó sus hallazgos durante una charla en la conferencia de seguridad Ekoparty, donde recordó que en un negocio de reventa en el conurbano bonaerense encontró, entre lámparas viejas y baterías industriales, un canasto con aparatos usados que le llamaron la atención, y por muy poco dinero compró dos.
Tras abrir uno de ellos entendió que eran rastreadores de GPS, no de los que están pensados para el usuario final sino de los que usan las empresas para saber la ubicación real de sus autos o camiones.
Soler, especialista en seguridad ofensiva e investigador en Intel, empezó a desarmar uno de esos aparatos “como hobby, en busca de algún bug (errores en el sistema)”, dedicándole un rato los fines de semana.
A fuerza de prueba y error, un día logró acceder a la placa del equipo y encontró dentro de la memoria del aparato una serie de números y letras. Buscando patrones, descubrió combinaciones que se repetían hasta que, tras probarlos, se dio cuenta de que eran códigos de latitud y longitud.
Los pasó a un mapa y pudo ver los recorridos: “Los viajes habían quedado almacenados y nadie los había borrado”, explicó.
“Emocionado”, volvió al negocio y compró los 66 equipos que quedaban, y recomenzó el trabajo para extraer los datos de ubicación.
Tras mucho trabajo pudo mapear los distintos recorridos de cada uno de los camiones; analizando esos trayectos supo cuál era la empresa de transporte. También, al analizar dónde pasan más tiempo, pudo identificar los galpones de la empresa, los depósitos, los estacionamientos, la ubicación de los docks de carga y hasta “todos los semáforos de la Ciudad”, entre otros datos.
“El tiempo efectivo que tardé fue de un poco más de un año y medio. Si le hubiera dedicado 8 horas por día, quizás me hubiera demorado tres semanas. Pero fue muy a pulmón, en los ratos libres. Gran parte del proceso fue frustrarme y abandonarlo, y volver a retomar después”, comentó en diálogo con Télam.
Si en cambio el trabajo lo hubiera hecho un forense, “con las herramientas adecuadas es un trabajo de una semana, quizás. O si sos de la Justicia y le podés pedir información al fabricante. Pero esto fue todo un trabajo de ingeniería inversa”, señaló.
Tras este ejercicio llegaron las preguntas: “¿Tenía herramientas el dueño de estos aparatos para borrar todos estos datos antes de revender los aparatos? La respuesta probablemente es no”.
El problema es que, por ejemplo, “Mercado Libre y Amazon están llenos de personas que venden GPS usados”, y “uno piensa que al resetear esos aparatos borra los datos, y en realidad deja un montón de datos personales en el aparato”.
Este tipo de problemas también lo tienen los televisores inteligentes, dijo a Télam, y explicó que “si usás Netflix, HBO o Youtube, la contraseña puede quedar guardada. Si a la tele la vendés o si se rompe y la tirás, como usuario no tenés manera de saber si queda o no”.
Por eso, para Soler “lo ideal sería que el fabricante explique claramente cómo borrar las contraseñas. Como ciudadano común, lo que podés hacer si vas a vender una televisión es, por las dudas, cambiar tus contraseñas antes de entregarla”.
