Αν σκέφτεστε να αγοράσετε το παιδί σας ένα Smartwatch από το Amazon, πρέπει να σκεφτείτε ξανά

Ως μέρος μιας άσκησης διείσδυσης, οι ερευνητές από την Rapid7 διέταξαν πρόσφατα τρία smartwatch από το Amazon - το SmartWatch των παιδιών, το Smartwatch των παιδιών G36 και το Smartwatch του SmarTurtles Kid's Smartwatch. Όπως υποδηλώνουν τα ονόματά τους, είναι όλα smartwatches των παιδιών, και έχουν σχεδιαστεί για να βοηθήσουν τους γονείς να παρακολουθούν τα παιδιά τους και να επικοινωνούν μαζί τους κάθε φορά που προκύπτει η ανάγκη. Αφού έσκαψαν τις συσκευές για λίγο, οι ειδικοί κατέληξαν στο συμπέρασμα ότι έχουν μερικές σοβαρές αδυναμίες οι οποίες, όπως θα ανακαλύψουμε σε ένα λεπτό, είναι απίθανο να διορθωθούν σύντομα. Θα ρίξουμε μια ματιά στα ευρήματα του Rapid7 και θα προσπαθήσουμε να δείξουμε στους ενδιαφερόμενους γονείς τι θα ήθελαν να προσέξουν όταν αγοράζουν αυτά τα gadget για τα παιδιά τους.

Ένα κακά ενσωματωμένο σύστημα διαμόρφωσης με βάση τα SMS καθιστά τα τρία ρολόγια εύκολο θήραμα για τους εγκληματίες του κυβερνοχώρου

Όταν ρυθμίζετε για πρώτη φορά ένα smartwatch, τοποθετείτε μια έγκυρη κάρτα SIM σε αυτήν και, στην περίπτωση των τριών συσκευών που δοκιμάστηκαν από το Rapid7, επικοινωνείτε μαζί του χρησιμοποιώντας SMS. Μόλις συνδεθείτε (περισσότερο σε αυτό σε ένα λεπτό), στέλνετε εντολές ως μηνύματα κειμένου για να διαμορφώσετε μερικές από τις ρυθμίσεις της συσκευής, να τις αντιστοιχίσετε με την εφαρμογή για κινητά στο τηλέφωνό σας και να δημιουργήσετε μια λίστα λευκών τηλεφωνικών αριθμών που μπορούν να επικοινωνούν με το ρολόι. Το τελευταίο βήμα είναι ιδιαίτερα σημαντικό επειδή σας βοηθά να βεβαιωθείτε ότι μόνο εσείς μπορείτε να ελέγξετε με το smartwatch του παιδιού σας. Αυτό υποτίθεται ότι συμβαίνει ούτως ή άλλως. Ωστόσο, υπάρχουν δύο βασικά προβλήματα.

Για μια, η απλή χρήση μηνυμάτων κειμένου δεν είναι μια πολύ καλή ιδέα. Έχουμε μιλήσει στο παρελθόν σχετικά με το πόσο παλιό είναι το πρωτόκολλο επικοινωνίας πίσω από το SMS και όπως επισημαίνουν οι ερευνητές της Rapid7 στην έκθεση τους, η ψευδαίσθηση του τηλεφωνικού αριθμού του αποστολέα δεν είναι καθόλου δύσκολη.

Με άλλα λόγια, ακόμα κι αν όλα λειτουργούν όπως πρέπει, η ασφάλεια των ρολογιών Rapid7 που δοκιμάζονται δεν είναι μεγάλη. Δυστυχώς, οτιδήποτε άλλο δεν λειτουργεί όπως πρέπει.

Οι ερευνητές ανακάλυψαν ότι η λευκή λίστα που δημιουργείτε κατά την αρχική εγκατάσταση δεν λειτουργεί καθόλου. Χρησιμοποιώντας έναν αριθμό που δεν βρίσκεται στη λίστα επιτρεπτών δεδομένων, ένας εισβολέας μπορεί να στείλει τα μηνύματα κειμένου παρακολούθησης, να τα αναδιαμορφώσει και να τα ρυθμίσει για να δουλέψει με μια εφαρμογή στη συσκευή τους, πράγμα που σημαίνει ότι μπορούν να παρακολουθήσουν τα ίχνη του παιδιού και να στείλουν μηνύματα. Πριν μπορέσετε να κάνετε όλα αυτά, πρέπει να συνδεθείτε στο ρολόι, πράγμα που σημαίνει ότι στέλνετε έναν κωδικό πρόσβασης ως SMS, αλλά υπάρχει και ένα πρόβλημα με αυτό.

Τα ρολόγια έρχονται με έναν αδύναμο προεπιλεγμένο κωδικό πρόσβασης και τεράστια τεκμηρίωση

Όπως και οι περισσότερες συσκευές αυτού του τύπου, τα ρολόγια έρχονται με έναν προεπιλεγμένο κωδικό πρόσβασης. Και με τα τρία μοντέλα, ο εν λόγω κωδικός πρόσβασης ήταν "123456", που δεν είναι ένα ιδανικό σενάριο. Σαν να μην ήταν αρκετό, αν μαντέψατε τον κωδικό πρόσβασης ίσως να μην είναι τόσο δύσκολο, υπολογίζοντας πώς να το αλλάξετε είναι μια εντελώς διαφορετική ιστορία.

Εάν περιμένετε σαφείς πληροφορίες σχετικά με τους μηχανισμούς ελέγχου ταυτότητας στα εγχειρίδια χρήσης, δεν έχετε τύχη. Ένα από τα εγχειρίδια δεν αναφέρει καθόλου τον κωδικό πρόσβασης. Μια άλλη συσκευή αναφέρει τον προεπιλεγμένο κωδικό πρόσβασης, αλλά το κάνει σε μεταφρασμένη ανάρτηση blog που είναι αφιερωμένη στο smartwatch, όχι στο πραγματικό εγχειρίδιο. Ο πωλητής του τρίτου ρολογιού δεν χαρακτηρίζει τη συμβολοσειρά ως κωδικό πρόσβασης και δεν παρέχει πληροφορίες σχετικά με το τι μπορεί να γίνει για να το αλλάξει.

Μπορούν να διορθωθούν τα προβλήματα ασφάλειας;

Η σύνδεση των τρυπών ασφαλείας που βρέθηκαν στο Rapid7 δεν πρέπει να είναι τόσο δύσκολη. Η εναλλαγή μηνυμάτων SMS για μια πιο ισχυρή μέθοδο επικοινωνίας θα απαιτούσε έναν μεγάλο επανασχεδιασμό ολόκληρου του backend, το οποίο θα ήταν δύσκολο και δαπανηρό, αλλά ένα λειτουργικό whitelist και ένας πιο προφανής μηχανισμός επαναφοράς κωδικού πρόσβασης μπορούν να εφαρμοστούν με μια σχετικά απλή ενημέρωση υλικολογισμικού. Ο συνδυασμός ενός λεπτομερέστερου εγχειριδίου χρήσης και η διανομή του σε νέους και υπάρχοντες χρήστες δεν απαιτεί μεγάλη προσπάθεια. Δυστυχώς, κατά πάσα πιθανότητα, δεν θα γίνει τίποτα για την άμβλυνση του κινδύνου.

Πριν δημοσιοποιήσουν τα ευρήματά τους, οι ερευνητές της Rapid7 ήθελαν να έρθουν σε επαφή με τους πωλητές και να τους βοηθήσουν να διορθώσουν τα προβλήματα. Δυστυχώς, ο κατασκευαστής του SmartWatch των παιδιών και το Smartwatch των παιδιών G36 δεν έχει καμία παρουσία στο διαδίκτυο εκτός της αγοράς του Αμαζονίου και παρόλο που ο τρίτος πωλητής, ο SmarTurtles, έχει έναν ιστότοπο, αποφάσισε να μην μοιραστεί πληροφορίες επικοινωνίας με το υπόλοιπο ο κόσμος.

Αυτό όχι μόνο σημαίνει ότι είναι αδύνατη η αποκάλυψη αδυναμιών ασφαλείας. Σημαίνει επίσης ότι η συσκευή παρακολούθησης στον καρπό του παιδιού σας μπορεί να αναπτυχθεί και να πωληθεί από μια εταιρεία που δεν επιθυμεί να επικοινωνήσετε μαζί της υπό οποιεσδήποτε συνθήκες.

Προφανώς, αν έχετε αγοράσει τα παιδιά σας ένα smartwatch που επηρεάζεται από τις ευπάθειες που αναφέρονται παραπάνω, θα πρέπει να σκεφτείτε προσεκτικά για το εάν το χρειάζεστε πραγματικά τόσο άσχημα. Τουλάχιστον, κάντε κάποια έρευνα και σιγουρευτείτε ότι αλλάζετε τον προεπιλεγμένο κωδικό πρόσβασης επειδή, στην κατάσταση εκτός του κουτιού, ο μηχανισμός επαλήθευσης ταυτότητας είναι τόσο καλός όσο και ανύπαρκτος.

Η έρευνα θα αποπληρωθεί αν δεν έχετε αγοράσει ακόμα ένα smartwatch για το παιδί σας αλλά σκέφτεστε να το πάρετε. Πηγαίνετε στο διαδίκτυο και καταλάβετε πώς λειτουργεί το ρολόι και πώς επικοινωνείτε μαζί του πριν τοποθετήσετε την παραγγελία. Ελέγξτε το εγχειρίδιο χρήσης και βεβαιωθείτε ότι εάν η αρχική ρύθμιση εξαρτάται από έναν προεπιλεγμένο κωδικό πρόσβασης, υπάρχει ένας καλά τεκμηριωμένος τρόπος αλλαγής της μόλις ολοκληρωθούν τα πάντα. Διαβάστε τις αναθεωρήσεις και δείτε τι είδους προβλήματα είχαν να αντιμετωπίσουν άλλοι άνθρωποι. Τέλος, προσπαθήστε να μάθετε περισσότερα σχετικά με την εταιρεία που προσφέρει τη συσκευή. Αν αυτό δεν είναι δυνατό, είστε καλύτερα να περπατάτε μακριά.