Si vous songez à acheter à votre enfant une montre intelligente d'Amazon, vous devez y réfléchir à nouveau

Children's Smartwatches Security Vulnerability

Dans le cadre d'un exercice de test de pénétration, des chercheurs de Rapid7 ont récemment commandé trois montres intelligentes à Amazon - la SmartWatch pour enfants, la Smartwatch pour enfants G36 et la Smartwatch pour enfants SmarTurtles. Comme leur nom l'indique, ce sont toutes des montres intelligentes pour enfants, et elles sont conçues pour aider les parents à garder une trace de leurs enfants et à les contacter chaque fois que le besoin s'en fait sentir. Après avoir fouillé un peu les appareils, les experts ont conclu qu'ils présentaient de graves vulnérabilités qui, comme nous le découvrirons dans une minute, ne devraient pas être corrigées de sitôt. Nous allons maintenant jeter un coup d'œil aux résultats de Rapid7 et nous allons essayer de montrer aux parents concernés ce qu'ils pourraient vouloir rechercher lors de l'achat de ces gadgets pour leurs enfants.

Un système de configuration basé sur SMS mal implémenté fait des trois montres une proie facile pour les cybercriminels

Lorsque vous configurez une smartwatch pour la première fois, vous y insérez une carte SIM valide et, dans le cas des trois appareils testés par Rapid7, vous communiquez avec elle à l'aide de SMS. Une fois connecté (plus d'informations dans une minute), vous envoyez des commandes sous forme de SMS pour configurer certains paramètres de l'appareil, le coupler avec l'application mobile sur votre téléphone et créer une liste blanche de numéros de téléphone pouvant communiquer avec la montre. La dernière étape est particulièrement importante car elle vous aide à vous assurer que vous seul pouvez contrôler avec la montre intelligente de votre enfant. C'est ce qui est censé arriver, de toute façon. Il y a cependant deux problèmes fondamentaux.

D'une part, la simple utilisation de messages texte n'est pas une très bonne idée. Nous avons parlé dans le passé de l'âge du protocole de communication derrière SMS et, comme le soulignent les chercheurs de Rapid7 dans leur rapport, l'usurpation du numéro de téléphone de l'expéditeur n'est pas difficile du tout.

En d'autres termes, même si tout le reste fonctionne comme il se doit, la sécurité des montres testées par Rapid7 n'est pas excellente. Malheureusement, tout le reste ne fonctionne pas comme il se doit.

Les chercheurs ont découvert que la liste blanche que vous créez lors de la configuration initiale n'est pas du tout fonctionnelle. À l'aide d'un numéro qui ne figure pas sur la liste blanche, un attaquant peut envoyer les messages texte de la montre, le reconfigurer et le configurer pour qu'il fonctionne avec une application sur son appareil, ce qui signifie qu'il peut suivre où se trouve l'enfant et envoyer des messages. Avant de pouvoir faire tout cela, vous devez vous connecter à la montre, ce qui signifie envoyer un mot de passe sous forme de SMS, mais cela pose également un problème.

Les montres sont livrées avec un mot de passe par défaut faible et une documentation affligeante

Comme la plupart des appareils de ce type, les montres sont livrées avec un mot de passe par défaut. Avec les trois modèles, le mot de passe en question était "123456", ce qui n'est pas un scénario idéal. Comme si cela ne suffisait pas, bien que deviner le mot de passe ne soit pas si difficile, trouver comment le changer est une toute autre histoire.

Si vous attendez des informations claires sur les mécanismes d'authentification dans les manuels d'utilisation, vous n'avez pas de chance. L'un des manuels ne mentionne pas du tout le mot de passe. Un autre appareil mentionne le mot de passe par défaut, mais il le fait dans un article de blog traduit dédié à la smartwatch, pas dans le manuel réel. Le fournisseur de la troisième montre ne caractérise pas du tout la chaîne comme mot de passe et ne donne aucune information sur ce qui peut être fait pour la changer.

Les problèmes de sécurité peuvent-ils être résolus?

Le colmatage des failles de sécurité détectées par Rapid7 ne devrait pas être vraiment difficile. L'échange de SMS pour une méthode de communication plus robuste nécessiterait une refonte majeure de l'ensemble du backend, ce qui serait difficile et coûteux, mais une liste blanche de travail et un mécanisme de réinitialisation de mot de passe plus évident peuvent être mis en œuvre avec une mise à jour du firmware relativement simple. Assembler un manuel d'utilisation plus détaillé et le distribuer aux utilisateurs nouveaux et existants ne demande pas non plus beaucoup d'efforts. Malheureusement, selon toute vraisemblance, rien ne sera fait pour atténuer le risque.

Avant de divulguer publiquement leurs résultats, les chercheurs de Rapid7 ont voulu entrer en contact avec les fournisseurs et les aider à résoudre les problèmes. Malheureusement, le fabricant de la SmartWatch pour enfants et de la SmartWatch pour enfants G36 n'a aucune présence en ligne en dehors du marché d'Amazon, et bien que le troisième fournisseur, SmarTurtles, ait un site Web, il a décidé de ne partager aucune information de contact avec le reste de le monde.

Cela signifie non seulement que la divulgation des failles de sécurité est impossible. Cela signifie également que le dispositif de suivi au poignet de votre enfant peut être développé et vendu par une entreprise qui ne souhaite en aucun cas que vous le contactiez.

De toute évidence, si vous avez acheté à vos enfants une montre connectée qui est affectée par les vulnérabilités répertoriées ci-dessus, vous devez réfléchir attentivement à la question de savoir si vous en avez vraiment besoin. À tout le moins, effectuez des recherches et assurez-vous de changer le mot de passe par défaut car, dans son état d'origine, le mécanisme d'authentification est aussi bon qu'inexistant.

La recherche sera également payante si vous n'avez pas encore acheté de montre intelligente pour votre enfant mais que vous songez à en acheter une. Allez en ligne et découvrez comment la montre fonctionne et comment vous communiquez avec elle avant de passer la commande. Consultez le manuel de l'utilisateur et assurez-vous que si la configuration initiale dépend d'un mot de passe par défaut, il existe un moyen bien documenté de le changer une fois que tout est opérationnel. Lisez les critiques et voyez quels types de problèmes d'autres personnes ont dû affronter. Enfin, essayez d'en savoir plus sur l'entreprise qui propose l'appareil. Si ce n'est pas possible, vous feriez mieux de simplement vous éloigner.

Par Duran
December 16, 2019
News
Français
December 16, 2019
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.