Se stai pensando di acquistare uno smartwatch da Amazon per tuo figlio, devi ripensarci
Come parte di un esercizio di test di penetrazione, i ricercatori di Rapid7 hanno recentemente ordinato tre smartwatch da Amazon: lo SmartWatch per bambini, lo Smartwatch per bambini G36 e lo Smartwatch per bambini SmarTurtles. Come suggeriscono i loro nomi, sono tutti smartwatch per bambini e sono progettati per aiutare i genitori a tenere traccia dei loro figli e a contattarli ogni volta che se ne presenta la necessità. Dopo aver frugato per un po 'attorno ai dispositivi, gli esperti hanno concluso che hanno alcune gravi vulnerabilità che, come scopriremo tra un minuto, è improbabile che vengano riparate presto. Daremo ora uno sguardo alle scoperte di Rapid7 e proveremo a mostrare ai genitori preoccupati ciò a cui potrebbero voler prestare attenzione quando acquistano questi gadget per i loro figli.
Table of Contents
Un sistema di configurazione basato su SMS mal implementato rende i tre orologi facili prede per i criminali informatici
Quando si imposta uno smartwatch per la prima volta, ci si inserisce una carta SIM valida e, nel caso dei tre dispositivi testati da Rapid7, si comunica con esso tramite SMS. Una volta effettuato l'accesso (ne parleremo più in un minuto), invii comandi come messaggi di testo per configurare alcune impostazioni del dispositivo, associarlo all'app mobile sul tuo telefono e creare una whitelist di numeri di telefono in grado di comunicare con l'orologio. L'ultimo passaggio è particolarmente importante perché ti aiuta a garantire che solo tu puoi controllare con lo smartwatch di tuo figlio. Questo è quello che dovrebbe succedere, comunque. Vi sono tuttavia due problemi fondamentali.
Per uno, il semplice uso dei messaggi di testo non è una buona idea. Abbiamo parlato in passato di quanti anni ha il protocollo di comunicazione dietro SMS, e come sottolineano i ricercatori di Rapid7 nel loro rapporto, falsificare il numero di telefono del mittente non è affatto difficile.
In altre parole, anche se tutto il resto funziona come dovrebbe, la sicurezza degli orologi Rapid7 testati non è eccezionale. Sfortunatamente, non tutto il resto funziona come dovrebbe.
I ricercatori hanno scoperto che la whitelist che crei durante la configurazione iniziale non funziona affatto. Utilizzando un numero non presente nella whitelist, un utente malintenzionato può inviare i messaggi di testo dell'orologio, riconfigurarlo e configurarlo per funzionare con un'app sul proprio dispositivo, il che significa che possono tenere traccia della posizione del bambino e inviare messaggi. Prima di poter fare tutto ciò, è necessario accedere all'orologio, il che significa inviare una password come SMS, ma c'è anche un problema con questo.
Gli orologi sono dotati di una password predefinita debole e documentazione dolorosa
Come la maggior parte dei dispositivi di questo tipo, gli orologi sono dotati di una password predefinita. Con tutti e tre i modelli, la password in questione era "123456", che non è uno scenario ideale. Come se ciò non bastasse, mentre indovinare la password potrebbe non essere così difficile, capire come cambiarla è una storia completamente diversa.
Se ti aspetti informazioni chiare sui meccanismi di autenticazione nei manuali utente, sei sfortunato. Uno dei manuali non menziona affatto la password. Un altro dispositivo menziona la password predefinita, ma lo fa in un post di blog tradotto dedicato allo smartwatch, non nel manuale reale. Il venditore del terzo orologio non caratterizza affatto la stringa come password e non fornisce informazioni su cosa si può fare per cambiarla.
I problemi di sicurezza possono essere risolti?
Collegare i buchi di sicurezza trovati da Rapid7 non dovrebbe essere così difficile. Lo scambio di SMS con un metodo di comunicazione più robusto richiederebbe una riprogettazione importante dell'intero backend, che sarebbe difficile e costoso, ma una whitelist funzionante e un meccanismo di reimpostazione della password più ovvio possono essere implementati con un aggiornamento del firmware relativamente semplice. Anche mettere insieme un manuale utente più dettagliato e distribuirlo a utenti nuovi ed esistenti non richiede molto impegno. Sfortunatamente, con ogni probabilità, non sarà fatto nulla per mitigare il rischio.
Prima di rivelare pubblicamente le loro scoperte, i ricercatori di Rapid7 volevano mettersi in contatto con i venditori e aiutarli a risolvere i problemi. Sfortunatamente, il produttore di SmartWatch per bambini e Smartwatch per bambini G36 non ha alcuna presenza online al di fuori del mercato di Amazon e, sebbene il terzo fornitore, SmarTurtles, abbia un sito Web, ha deciso di non condividere alcuna informazione di contatto con il resto di il mondo.
Ciò non significa solo che è impossibile rivelare le vulnerabilità della sicurezza. Significa anche che il dispositivo di localizzazione sul polso di tuo figlio potrebbe essere sviluppato e venduto da un'azienda che non vuole che tu lo contatti in nessun caso.
Ovviamente, se hai comprato ai tuoi figli uno smartwatch che è interessato dalle vulnerabilità sopra elencate, dovresti pensare attentamente se ne hai davvero bisogno. Per lo meno, fai qualche ricerca e assicurati di cambiare la password predefinita perché, nel suo stato immediato, il meccanismo di autenticazione è buono come inesistente.
La ricerca pagherà anche se non hai ancora acquistato uno smartwatch per tuo figlio ma stai pensando di ottenerne uno. Vai online e scopri come funziona l'orologio e come comunichi con esso prima di effettuare l'ordine. Controlla il manuale dell'utente e assicurati che se l'installazione iniziale si basa su una password predefinita, esiste un modo ben documentato di modificarlo una volta che tutto è attivo e funzionante. Leggi le recensioni e vedi che tipo di problemi hanno dovuto affrontare altre persone. Ultimo ma non meno importante, prova a saperne di più sull'azienda che offre il dispositivo. Se ciò non è possibile, è meglio andarsene.
