Hvis du overvejer at købe dit barn en Smartwatch fra Amazon, skal du tænke igen

Children's Smartwatches Security Vulnerability

Som en del af en penetrationstestøvelse bestilte forskere fra Rapid7 for nylig tre smartwatches fra Amazon - Children’s SmartWatch, G36 Children's Smartwatch og SmarTurtles Kid’s Smartwatch. Som deres navne antyder, er de alle børns smartur, og de er designet til at hjælpe forældre med at holde styr på deres børn og kontakte dem, når behovet opstår. Efter at have undersøgt enhederne en smule, konkluderede eksperterne, at de har et par alvorlige sårbarheder, som, som vi finder ud af et øjeblik, sandsynligvis ikke vil blive løst snart. Vi vil nu se på Rapid7s fund, og vi vil prøve at vise bekymrede forældre, hvad de måske vil kigge efter, når de køber disse gadgets til deres børn.

Et dårligt implementeret, SMS-baseret konfigurationssystem gør de tre ure let bytte for cyberkriminelle

Når du opretter en smartwatch for første gang, lægger du et gyldigt SIM-kort i det, og i tilfælde af de tre enheder, der er testet af Rapid7, kommunikerer du med det ved hjælp af SMS'er. Når du logger ind (mere om det på et minut), sender du kommandoer som tekstmeddelelser for at konfigurere nogle af enhedens indstillinger, parre det med mobilappen på din telefon og oprette en hvidliste over telefonnumre, der kan kommunikere med uret. Det sidste trin er især vigtigt, fordi det hjælper dig med at sikre dig, at kun du kan kontrollere med dit barns smartur. Det er hvad der alligevel skulle ske. Der er dog to grundlæggende problemer.

For det første er den blotte brug af tekstbeskeder ikke en særlig god idé. Vi har talt i fortiden om, hvor gammel kommunikationsprotokollen bag SMS er, og som Rapid7s forskere påpeger i deres rapport, at forfalskning af afsenderens telefonnummer ikke er overhovedet vanskeligt.

Med andre ord, selvom alt andet fungerer som det skal, er sikkerheden for de testede ure Rapid7 ikke stor. Desværre fungerer ikke alt andet som det skal.

Forskerne fandt ud af, at den hvidliste, du opretter under den indledende opsætning, slet ikke er funktionel. Ved hjælp af et nummer, der ikke findes på hvidlisten, kan en hacker sende uretekstmeddelelser, konfigurere det igen og konfigurere det til at arbejde med en app på deres enhed, hvilket betyder, at de kan spore barnets opholdssted og sende meddelelser. Inden du kan gøre alt dette, skal du logge på uret, hvilket betyder, at du sender en adgangskode som en SMS, men der er også et problem med dette.

Ure leveres med en svag standardadgangskode og ulykkelig dokumentation

Som de fleste enheder af denne type har ure en standardadgangskode. Med alle tre modeller var det aktuelle kodeord "123456", hvilket ikke er et ideelt scenario. Som om det ikke var nok, er det en helt anden historie at gætte adgangskoden muligvis ikke så svært, og det er en helt anden historie at finde ud af, hvordan man ændrer det.

Hvis du forventer klare oplysninger om godkendelsesmekanismer i brugermanualerne, er du heldig. En af manualerne nævner slet ikke adgangskoden. En anden enhed nævner standardadgangskoden, men den gør det i et oversat blogindlæg, der er dedikeret til smartwatch, ikke i selve manualen. Sælgeren af det tredje ur karakteriserer slet ikke som en adgangskode og giver ingen oplysninger om, hvad der kan gøres for at ændre den.

Kan sikkerhedsproblemerne rettes?

At sætte sikkerhedshullerne, som Rapid7 blev fundet, skulle virkelig ikke være så svært. Udskiftning af SMS for en mere robust kommunikationsmetode ville kræve en større redesign af hele backend, hvilket ville være vanskeligt og dyrt, men en fungerende hvidliste og en mere indlysende nulstilling af adgangskode kan implementeres med en relativt simpel firmwareopdatering. At sammensætte en mere detaljeret brugermanual og distribuere den til nye og eksisterende brugere kræver heller ikke meget i vejen for indsats. Desværre vil der sandsynligvis ikke blive gjort noget for at mindske risikoen.

Før Rapid7s forskere offentligt afslørede deres fund, ønskede de at komme i kontakt med leverandørerne og hjælpe dem med at løse problemerne. Desværre har producenten af Børns SmartWatch og G36 Børns Smartwatch ikke nogen online tilstedeværelse uden for Amazon-markedet, og selv om den tredje leverandør, SmarTurtles, har et websted, har det besluttet ikke at dele nogen kontaktoplysninger med resten af verdenen.

Dette betyder ikke kun, at det er umuligt at afsløre sikkerhedssårbarheder. Det betyder også, at sporingsenheden på dit barns håndled muligvis kan udvikles og sælges af et firma, der ikke ønsker, at du under nogen omstændigheder kontakter det.

Naturligvis, hvis du har købt dine børn et smartur, der er påvirket af de ovenfor nævnte sårbarheder, skal du tænke nøje igennem om du virkelig har brug for det så dårligt. I det mindste skal du undersøge, og sørge for at ændre standardadgangskoden, fordi autentificeringsmekanismen i sin out-of-the-box-tilstand er så god som ikke-eksisterende.

Forskning lønner sig også, hvis du endnu ikke har købt et smartwatch til dit barn, men overvejer at få en. Gå online og find ud af, hvordan uret fungerer, og hvordan du kommunikerer med det, før du afgiver ordren. Se brugermanualen, og sørg for, at hvis den indledende konfiguration er afhængig af en standardadgangskode, er der en veldokumenteret måde at ændre det på, når alt er i gang. Læs anmeldelserne, og se, hvilken slags problemer andre mennesker har haft at gøre med. Sidst men ikke mindst, prøv at lære mere om det firma, der tilbyder enheden. Hvis det ikke er muligt, er det bedre at bare gå væk.

December 16, 2019
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.