Ha azon gondolkodik, hogy megvásárolja-e a gyerek intelligens óráját az Amazon-ról, akkor újra gondolkodnia kell

Children's Smartwatches Security Vulnerability

A penetrációs tesztelés részeként a Rapid7 kutatói nemrégiben három intelligens órát rendeltek az Amazon-tól - a Children's SmartWatch, a G36 Children's Smartwatch és a SmarTurtles Kid's Smartwatch. Amint a nevük sugallja, mindegyik gyermek intelligens órája, és célja, hogy segítse a szülõket nyomon követni gyermekeiket, és bármikor felvegye velük a kapcsolatot. Miután egy kicsit körbejárta az eszközöket, a szakértők arra a következtetésre jutottak, hogy vannak néhány súlyos sebezhetőségük, amelyek - amint egy perc alatt megtudjuk - valószínűleg nem javulnak hamarosan. Most átnézzük a Rapid7 eredményeit, és megpróbáljuk megmutatni az érintett szülőknek, hogy mit érdemelhetnek figyelmen kívül, amikor ezeket a modulokat vásárolják gyermekeiknek.

A rosszul megvalósított, SMS-alapú konfigurációs rendszer megkönnyíti a három órát a számítógépes bűnözők számára

Amikor egy intelligens órát állított be első alkalommal, érvényes SIM-kártyát helyez be, és a Rapid7 által tesztelt három eszköz esetében SMS-ben kommunikál vele. Miután bejelentkezett (egy perc múlva), parancsot küld szöveges üzenetként, hogy konfigurálja az eszköz egyes beállításait, párosítsa azt a telefon mobilalkalmazásával, és hozzon létre egy fehérlistát a telefonszámokról, amelyek képesek kommunikálni az órával. Az utolsó lépés különösen fontos, mivel segít abban, hogy megbizonyosodjon arról, hogy csak Ön tudja irányítani gyermeke intelligens óráját. Amúgy is ez történik. Két alapvető probléma van azonban.

Egyrészt a szöveges üzenetek puszta használata nem túl jó ötlet. A múltban arról beszéltünk, hogy az SMS mögött hány éves kommunikációs protokoll van, és amint a Rapid7 kutatói rámutattak jelentésükre, a feladó telefonszámának megtévesztése egyáltalán nem nehéz.

Más szavakkal, még ha minden más úgy működik, ahogy kellene, a Rapid7 által tesztelt órák biztonsága nem nagy. Sajnos nem minden más működik úgy, ahogy kellene.

A kutatók rájöttek, hogy a kezdeti beállítás során létrehozott engedélyezési lista egyáltalán nem működik. Olyan szám használatával, amely nem szerepel a fehérlistán, a támadó elküldheti a figyelő szöveges üzeneteket, újrakonfigurálhatja és beállíthatja úgy, hogy működjön az eszközükön lévő alkalmazásokkal, vagyis nyomon tudja követni a gyermek tartózkodási helyét és üzeneteket küldeni. Mielőtt ezt megtenné, be kell jelentkeznie az órába, ami azt jelenti, hogy SMS-ben jelszót kell küldeni, de ezzel is probléma van.

Az órák gyenge alapértelmezett jelszóval és bánatos dokumentációval rendelkeznek

A legtöbb ilyen típusú készülékhez hasonlóan az órákhoz alapértelmezett jelszó is tartozik. Mindhárom modellnél a kérdéses jelszó "123456" volt, ami nem ideális forgatókönyv. Mintha ez nem lenne elég, bár a jelszó kitalálása lehet, hogy nem lesz olyan nehéz, ha kitalálni, hogyan kell megváltoztatni, ez egy teljesen más történet.

Ha a felhasználói kézikönyvekben egyértelmű információkat vár a hitelesítési mechanizmusokról, akkor szerencsétlensége van. Az egyik kézikönyv egyáltalán nem említi a jelszót. Egy másik eszköz említi az alapértelmezett jelszót, de az intelligens órának szentelt lefordított blogbejegyzésben teszi meg, nem a tényleges kézikönyvben. A harmadik óra eladója egyáltalán nem jellemzi a karakterláncot jelszóként, és nem ad információt arról, hogy mit lehet tenni annak megváltoztatásához.

Meg lehet-e javítani a biztonsági problémákat?

A Rapid7 által talált biztonsági lyukak bedugása nem igazán lehet ilyen nehéz. Az SMS cseréje egy robusztusabb kommunikációs módszerre a teljes háttér nagy módosítását igényli, ami nehéz és költséges lenne, de egy működő engedélyezési lista és egyértelműbb jelszó-visszaállítási mechanizmus megvalósítható egy viszonylag egyszerű firmware frissítéssel. A részletesebb felhasználói kézikönyv összeállítása és új és meglévő felhasználók számára történő terjesztése szintén nem igényel erőfeszítéseket. Sajnos minden valószínűség szerint nem történik semmi a kockázat enyhítésére.

Mielőtt megállapításaikat nyilvánosan közzétették, a Rapid7 kutatói kapcsolatba léptek a gyártókkal, és segítettek nekik a problémák megoldásában. Sajnos a Children's SmartWatch és a G36 Children's Smartwatch gyártójának nincs online jelenléte az Amazon piacon, és bár a harmadik eladónak, a SmarTurtlesnak van egy weboldala, úgy döntött, hogy nem oszt meg semmilyen kapcsolattartási információt a többi a világ.

Ez nem csak azt jelenti, hogy a biztonsági rések feltárása lehetetlen. Ez azt is jelenti, hogy gyermeke csuklóján lévő nyomkövető eszközt olyan cég fejlesztette ki és értékesítheti, amely nem akarja, hogy bármilyen körülmények között vegye fel a kapcsolatot.

Nyilvánvaló, hogy ha megvásárolta gyermekeinek egy intelligens órát, amelyet a fent felsorolt sebezhetőségek sújtanak, akkor gondosan mérlegelnie kell, vajon valóban szüksége van-e rá ilyen rosszul. Legalább végezzen kutatást, és ügyeljen arra, hogy megváltoztassa az alapértelmezett jelszót, mivel a hitelesítési mechanizmus a doboz nélküli állapotában ugyanolyan jó, mintha nem létezik.

A kutatás akkor is kifizetődő, ha még nem vásárolt intelligens órát gyermekének, de arra gondol, hogy szerezzen egyet. Keressen online, és megrendelés meghozatala előtt derítse ki, hogyan működik az óra, és hogyan kommunikál vele. Nézze meg a felhasználói kézikönyvet, és győződjön meg arról, hogy ha a kezdeti beállítás alapértelmezett jelszóra támaszkodik, akkor jól dokumentált módon megváltoztathatja azt, mihelyt minden kész és fut. Olvassa el az áttekintést, és nézze meg, hogy milyen problémákkal kellett másokkal foglalkozniuk másokkal. Végül, de nem utolsósorban, próbáljon meg többet megtudni az eszközt kínáló cégről. Ha ez nem lehetséges, akkor jobb, ha csak elmegy.

December 16, 2019
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.