Wenn Sie daran denken, Ihrem Kind eine Smartwatch von Amazon zu kaufen, müssen Sie erneut darüber nachdenken

Children's Smartwatches Security Vulnerability

Im Rahmen einer Penetrationstestübung bestellten Forscher von Rapid7 kürzlich drei Smartwatches bei Amazon - die Kinder-Smartwatch, die G36-Kinder-Smartwatch und die SmarTurtles-Kinder-Smartwatch. Wie der Name schon sagt, handelt es sich bei allen um Kinder-Smartwatches. Sie sollen Eltern dabei helfen, den Überblick über ihre Kinder zu behalten und sie zu kontaktieren, wann immer dies erforderlich ist. Nach einigem Stöbern in den Geräten kamen die Experten zu dem Schluss, dass sie einige schwerwiegende Sicherheitslücken aufweisen, die, wie wir gleich herausfinden werden, wahrscheinlich nicht bald behoben werden können. Wir werden jetzt einen Blick auf die Ergebnisse von Rapid7 werfen und versuchen, besorgten Eltern zu zeigen, worauf sie beim Kauf dieser Geräte für ihre Kinder achten sollten.

Ein schlecht implementiertes, SMS-basiertes Konfigurationssystem macht die drei Uhren zur leichten Beute für Cyberkriminelle

Wenn Sie zum ersten Mal eine Smartwatch einrichten, legen Sie eine gültige SIM-Karte ein und kommunizieren bei den drei von Rapid7 getesteten Geräten mit dieser über SMS. Sobald Sie sich angemeldet haben (mehr dazu in einer Minute), senden Sie Befehle als Textnachrichten, um einige Einstellungen des Geräts zu konfigurieren, es mit der mobilen App auf Ihrem Telefon zu koppeln und eine Whitelist mit Telefonnummern zu erstellen, die mit der Uhr kommunizieren können. Der letzte Schritt ist besonders wichtig, da Sie so sicherstellen können, dass nur Sie die Smartwatch Ihres Kindes steuern können. Das ist es, was sowieso passieren soll. Es gibt jedoch zwei grundlegende Probleme.

Zum einen ist die bloße Verwendung von Textnachrichten keine sehr gute Idee. Wir haben in der Vergangenheit darüber gesprochen, wie alt das Kommunikationsprotokoll hinter SMS ist, und wie die Forscher von Rapid7 in ihrem Bericht darauf hinweisen, ist es überhaupt nicht schwierig, die Telefonnummer des Absenders zu fälschen.

Mit anderen Worten, auch wenn alles andere so funktioniert, wie es sollte, ist die Sicherheit der getesteten Uhren von Rapid7 nicht großartig. Leider funktioniert nicht alles so, wie es sollte.

Die Forscher stellten fest, dass die Whitelist, die Sie während der Ersteinrichtung erstellen, überhaupt nicht funktioniert. Über eine Nummer, die nicht in der Whitelist enthalten ist, kann ein Angreifer die Textnachrichten für die Überwachung senden, neu konfigurieren und für die Verwendung mit einer App auf seinem Gerät konfigurieren. Dies bedeutet, dass er den Aufenthaltsort des Kindes nachverfolgen und Nachrichten senden kann. Bevor Sie all dies tun können, müssen Sie sich bei der Uhr anmelden, was bedeutet, dass Sie ein Passwort als SMS senden. Es besteht jedoch auch ein Problem damit.

Die Uhren werden mit einem schwachen Standardkennwort und einer umständlichen Dokumentation geliefert

Wie die meisten Geräte dieses Typs werden die Uhren mit einem Standardkennwort geliefert. Bei allen drei Modellen lautete das fragliche Kennwort "123456", was kein ideales Szenario ist. Als ob das nicht genug wäre, obwohl das Erraten des Passworts vielleicht nicht so schwierig ist, ist es eine ganz andere Geschichte, herauszufinden, wie man es ändert.

Wenn Sie klare Informationen zu den Authentifizierungsmechanismen in den Benutzerhandbüchern erwarten, haben Sie Pech. In einem der Handbücher wird das Passwort überhaupt nicht erwähnt. Ein anderes Gerät nennt das Standardkennwort, aber es steht in einem übersetzten Blog-Beitrag, der der Smartwatch gewidmet ist, nicht im aktuellen Handbuch. Der Hersteller der dritten Uhr charakterisiert den String überhaupt nicht als Passwort und gibt keine Auskunft darüber, wie er geändert werden kann.

Können die Sicherheitsprobleme behoben werden?

Das Verstopfen der Sicherheitslücken, die Rapid7 gefunden hat, sollte eigentlich nicht so schwierig sein. Das Austauschen von SMS gegen eine robustere Kommunikationsmethode würde ein umfangreiches Redesign des gesamten Backends erfordern, was schwierig und teuer wäre, aber eine funktionierende Whitelist und ein offensichtlicherer Mechanismus zum Zurücksetzen von Passwörtern können mit einem relativ einfachen Firmware-Update implementiert werden. Das Zusammenstellen eines detaillierteren Benutzerhandbuchs und das Verteilen an neue und bestehende Benutzer erfordert ebenfalls keinen großen Aufwand. Leider wird aller Wahrscheinlichkeit nach nichts unternommen, um das Risiko zu mindern.

Bevor die Forscher von Rapid7 ihre Ergebnisse öffentlich bekannt gaben, wollten sie Kontakt mit den Anbietern aufnehmen und ihnen helfen, die Probleme zu beheben. Leider hat der Hersteller der Kinder-Smartwatch und der G36-Kinder-Smartwatch keine Online-Präsenz außerhalb des Amazon-Marktes, und obwohl der dritte Anbieter, SmarTurtles, eine Website hat, hat er beschlossen, keine Kontaktinformationen mit dem Rest von zu teilen die Welt.

Dies bedeutet nicht nur, dass das Aufdecken von Sicherheitslücken unmöglich ist. Dies bedeutet auch, dass das Ortungsgerät am Handgelenk Ihres Kindes möglicherweise von einer Firma entwickelt und verkauft wird, die unter keinen Umständen möchte, dass Sie es kontaktieren.

Wenn Sie Ihren Kindern eine Smartwatch gekauft haben, die von den oben aufgeführten Sicherheitslücken betroffen ist, sollten Sie sich natürlich genau überlegen, ob Sie sie wirklich so dringend benötigen. Machen Sie zumindest einige Nachforschungen und stellen Sie sicher, dass Sie das Standardkennwort ändern, da der Authentifizierungsmechanismus im Auslieferungszustand so gut wie nicht vorhanden ist.

Forschung zahlt sich auch aus, wenn Sie noch keine Smartwatch für Ihr Kind gekauft haben, aber überlegen, eine zu bekommen. Gehen Sie online und finden Sie heraus, wie die Uhr funktioniert und wie Sie mit ihr kommunizieren, bevor Sie die Bestellung aufgeben. Lesen Sie das Benutzerhandbuch und vergewissern Sie sich, dass es eine gut dokumentierte Möglichkeit gibt, das Kennwort zu ändern, wenn die Erstkonfiguration von einem Standardkennwort abhängig ist, sobald alles in Betrieb ist. Lesen Sie die Bewertungen und sehen Sie, mit welchen Problemen andere Menschen zu kämpfen hatten. Versuchen Sie zu guter Letzt, mehr über das Unternehmen zu erfahren, das das Gerät anbietet. Wenn das nicht möglich ist, ist es besser, wenn Sie weggehen.

Bis Duran
December 16, 2019
News
Deutsch
December 16, 2019
News

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.