Детский трекер безопасности SmartWatch может быть взломан кем угодно

Детский трекер безопасности SmartWatch может быть взломан кем угодно

В продаже детские умные часы SMA M2 находятся уже около трех лет, внешне нетрудно понять, почему модель M2 может понравиться взволнованным родителям или опекунам.

Стоят данные часы всего 32 доллара, они соединяются со смартфоном, чтобы взрослые могли отслеживать местонахождение детей в режиме реального времени через GPS, GSM или Wi-Fi, используя простое картографическое приложение и онлайн-счет. Добавьте SIM-карту, и она может использоваться для голосовых вызовов, и есть даже кнопка SOS, которую дети могут нажать в случае чрезвычайной ситуации.

Цветной экран, значки мультфильмов и голубая или розовая цветовая гамма почти наверняка понравятся детям младшего возраста.

Изюминка?

Расследования , проведенные AV-Test, показали, что M2 также является катастрофой безопасности.

На протяжении многих лет Naked Security покрывал многочисленные ошибки в системе безопасности, но трудно представить более подробный список обвинений, чем тот, который AV-Test нацелил на создателей M2.

Чтобы проиллюстрировать это, тестеры используют пример девушки по имени Анна, которая живет в Дортмунде, Германия.

Она отдыхает со своими бабушкой и дедушкой в прибрежном городке под названием Нордерни, где она регулярно посещает местную гавань около 2 часов, чтобы найти тюленей в течение часа.

Компания знает все это, потому что Анна носит умные часы M2, которые передавали эту информацию вместе с информацией еще 5000 детей через публичную систему, безопасность которой не соответствует никаким требованиям и прозрачна для любого компетентного злоумышленника.

AV-Test смог найти имена и адреса этих детей, их возраст, фотографии, как они выглядели, а также голосовые сообщения, передаваемые с часов.

Кроме того, они смогли обнаружить текущие местоположения детей.

Ошибка аутентификации

Эпический сбой начинается с того факта, что связь с онлайн-системой не зашифрована и ее аутентификация слабая.

Хотя токен аутентификации генерируется и отправляется на запросы к веб-API для предотвращения несанкционированного доступа, этот токен не проверяется на стороне сервера и поэтому данная проверка не работает.

Возможно, хуже того, плохо защищенный веб-API приложения для смартфона позволяет заимствовать идентификатор учетной записи любого пользователя и входить в нее.

Злоумышленник может не только отслеживать и связываться с ребенком, но и блокировать законных взрослых из учетной записи.

Что делать

Если у вас есть эта модель часов, наш совет будет немедленно прекратить их использование.

Неясно, сколько детей может носить такие часы — AV-Test обнаружил пользователей в Турции, Польше, Мексике, Бельгии, Гонконге, Испании, Великобритании, Нидерландах и Китае — но это, вероятно, намного больше, чем 5000 тех, кого определили исследователи.

Изготовителю, SMA, сообщили о недостатках, в то время как немецкий дистрибьютор продукта снял его с продажи.

Тревожная часть этой истории заключается в том, что AV-Test уже несколько лет рассматривает детские умные часы такого типа , и это только последний и худший пример.

Действительно, Naked Security уже много раз решала проблемы безопасности с этим классом устройств . По сообщениям, в 2017 году Германия даже запретила устройства из-за шпионских забот .

До тех пор, пока подобные продукты Интернета вещей не будут демонстрировать лучшую безопасность, разумно делать покупки с большой осторожностью.

По материалам

Alt text

Владимир Безмалый

О безопасности и не только