Una aplicación que se supone que es una actividad divertida para los usuarios de dashcam para transmitir sus alimentaciones y unidades de cámara, en realidad está permitiendo a las personas raspar y almacenar la ubicación en tiempo real de los conductores en todo el mundo.
BlackVue es una compañía de dashcam con su propia red social. Con una pequeña cámara dash conectada a Internet instalada dentro de su vehículo, los usuarios de BlackVue pueden recibir alertas cuando su cámara detecta un evento inusual, como alguien que choca con su automóvil estacionado. Los clientes también pueden permitir que otros sintonicen la alimentación de su cámara, permitiendo que otros “experimenten indirectamente la emoción y el placer de conducir por todo el mundo”, se lee en un mensaje que se muestra dentro de la aplicación.
Se invita a los usuarios a subir imágenes de su cámara BlackVue al ver personas chocando contra sus automóviles u otros percances con el hashtag #CaughtOnBlackVue . Es algo así como las cámaras Ring de Amazon, pero para los automóviles. BlackVue expuso en el CES a principios de este mes, y apareció anteriormente en Innovaciones con Ed Begley Jr . en el canal de historia.
Pero lo que la aplicación de BlackVue no deja en claro es que es posible extraer y almacenar las ubicaciones de GPS de los usuarios en tiempo real durante días o incluso semanas. Motherboard pudo rastrear los movimientos de algunos de los clientes de BlackVue en los Estados Unidos.
¿Conoces una exposición de datos? Nos encantaría saber de usted. Usando un teléfono o computadora que no sea de trabajo, puede comunicarse con Joseph Cox de forma segura en Signal al +44 20 8133 5190, Wickr en josephcox, chat OTR en [email protected] o enviar un correo electrónico a [email protected].
La noticia destaca los problemas de privacidad que algunos clientes de BlackVue u otros usuarios de dashcam pueden desconocer y, en general, los peligros potenciales de agregar un dispositivo habilitado para Internet y GPS en su vehículo. También muestra cómo los desarrolladores pueden tener un caso de uso para una aplicación, mientras que las personas pueden descubrir otras: aunque BlackVue quería crear una aplicación entretenida donde los usuarios pudieran acceder a las fuentes de los demás, es posible que no se hayan dado cuenta de que sería trivialmente fácil Rastree los movimientos de sus clientes en detalle granular, a escala y con el tiempo.
BlackVue actúa como otro ejemplo de cómo los productos de vigilancia que están destinados nominalmente a proteger a un usuario han sido diseñados de tal manera que pueden terminar siendo espiados, también.
“No creo que la gente entienda el riesgo”, dijo Lee Heath, un profesional de seguridad de la información y usuario de BlackVue a Motherboard. “Conocía algunas de las características de la nube que quería. Puede hacer que se conecte y cargue automáticamente cuando ocurran los eventos. Pero no tenía idea de compartir” antes de recibir el dispositivo como regalo , agregó. .
Normalmente, BlackVue permite que cualquiera cree una cuenta y luego vea un mapa de cámaras que transmiten su ubicación y transmisión en vivo. Esta transmisión no está habilitada de manera predeterminada, y los usuarios tienen que seleccionar la opción para hacerlo al configurar o configurar su propia cámara. Placa base sintonizada en vivo de usuarios de Hong Kong, China, Rusia, Reino Unido, Alemania y otros lugares. El portavoz de BlackVue, Jeremie Sinic, le dijo a Motherboard en un correo electrónico que los usuarios en el mapa solo representan una pequeña fracción del total de clientes de BlackVue.
Pero los datos GPS reales que manejan el mapa están disponibles y accesibles al público.
Una captura de pantalla de los datos de ubicación de un usuario de BlackVue que Motherboard rastreó en Nueva York. La placa base ha ofuscado en gran medida los datos para proteger la privacidad del individuo. Imagen: Motherboard
Mediante ingeniería inversa de la versión iOS de la aplicación BlackVue, Motherboard pudo escribir scripts que extraen la ubicación GPS de los usuarios de BlackVue durante un período de una semana y almacenar las coordenadas y otra información como El identificador único del usuario. Un script podría recopilar los datos de ubicación de cada usuario de BlackVue que tenía habilitado el mapeo en la mitad este de los Estados Unidos cada dos minutos. La placa base recopiló datos sobre docenas de clientes.
Con esos datos, pudimos crear una imagen de las rutinas diarias de varios usuarios de BlackVue: una conducía por Manhattan durante el día, tal vez como un conductor de viaje compartido, antes de partir hacia Queens por la noche. Otro usuario de BlackVue conducía regularmente por Brooklyn, antes de estacionarse en un bloque específico en Queens durante la noche. El usuario hizo esto durante varias noches diferentes, lo que sugiere que puede ser donde el propietario vive o almacena su vehículo. Un tercero mostró a alguien conduciendo un camión por todo Carolina del Sur.
Algunos clientes pueden usar BlackVue como parte de una flota de vehículos; un empleador que quiera vigilar sus camiones de reparto mientras conducen, por ejemplo. Pero BlackVue también comercializa sus productos a consumidores comunes que desean proteger sus automóviles.
Una captura de pantalla de Motherboard accediendo a la transmisión pública en vivo de alguien mientras el usuario conduce en público lejos de su aparente hogar. Motherboard ha redactado la información del usuario para proteger la privacidad individual. Imagen: Placa base
BlackVue’s Sinic dijo que no se supone que sea posible recopilar coordenadas GPS de múltiples usuarios durante un período prolongado.
“Nuestros desarrolladores han actualizado las medidas de seguridad después de su informe de ayer que envié”, dijo Sinic. Después de esto, varias de las solicitudes web de Motherboard que anteriormente proporcionaban datos de usuario dejaron de funcionar.
En 2018, la compañía realizó algunos cambios relacionados con la privacidad en su aplicación , lo que significa que los usuarios no transmitían sus cámaras de forma predeterminada.
“Creo que BlackVue tiene ideas decentes en cuanto a dejar de forma predeterminada, pero permite que las personas se arriesguen sin comprender”, dijo Heath, el usuario de BlackVue.
La placa base ha eliminado todos los datos recopilados para preservar la privacidad de las personas.
Suscríbase a nuestro podcast de seguridad cibernética, CYBER .
—
Por Joseph Cox
