La empresa True Companion comercializa desde hace unos años el primer robot para tener relaciones sexuales: Roxxxy. Por desgracia no es posible encontrar demasiada información sobre las características técnicas del robot en la propia web de la empresa, pero sí que podemos sacar unas cuantas conclusiones y he pensado que sería divertido hacer un post sobre posibles vectores de ataque.
Disclaimer: todo lo que aquí descrito se basa en información obtenida de la web de la compañía y mi imaginación, ningún ataque ha sido probado en real (aún) ya que no dispongo de este robot, pero si algún lector quiere enviarme un par de robots para que haga ingeniería inversa, estaré encantado de informarle primero de todos los 0day que encuentre 🙂
Se pueden elegir diferentes versiones a gusto del consumidor: color de pelo, personalidad (hasta 5 diferentes, que se pueden personalizar más aún por el usuario), y según el modelo hasta puede hablar, tener cierta comprensión y responder al tacto. Estas características me hacen pensar que el robot tiene que tener diferentes tipos de sensores y microprocesadores. Además cuenta con puerto USB, Ethernet y Wi-fi por lo que también tiene capacidad de comunicarse (puede recibir actualizaciones vía Internet). El USB se conecta a un ordenador Windows para que el robot puede hablar con nosotros.
Un interesante concepto es que podemos prestar la personalidad de nuestro robot personalizado a otros usuarios en el foro de la empresa (Swingers para robots) de forma temporal, esto significa que el robot puede cambiar su personalidad por otra creada por otros usuarios.
Ahora con esta información planteamos diferentes escenarios teóricos/ficticios de ataque:
1. El robot podría traer de fabrica algún implante malicioso para comprometer el ordenador del usuario vía USB.
2. Se podría incluir un AP malicioso, tipo Wifi Pineapple, dentro del robot para realizar ataques a la red/sistemas.
3. Un atacante podría robar el perfil (personalidad) del robot para revendérselo al cliente (Ransomware).
4. Un atacante podría modificar los motores internos del robot para hacer daño al cliente cuando este metido “en faena” (aunque dudo que el robot tenga motores suficientemente potentes en la versión actual).
5. No se dice nada de la vista del robot, pero en caso de tenerla, se podría usar sus cámaras para espiar al usuario (¡hola, NSA!)
6. Igualmente se podría usar el robot para grabar la voz del cliente.
7. Y, con toda esta información, chantajear al cliente para no hacer públicos sus gustos/tendencias sexuales.
8. Un atacante podría enviar una personalidad maliciosa a los foros para que las víctimas se lo instalen en sus robots con diferentes fines.
Mucho hablamos de riesgos a las infraestructuras críticas, la Nube, Big Data y el Internet de las Cosas (IoT), pero en los próximos años la seguridad y riesgos en los robots cobrarán más relevancia cuando estén cada vez más presentes en nuestras vidas personales y profesionales…
¿Qué más ataques se te ocurren? 😉
— Simon Roses Femerling / @simonroses
