Amazonから子供にスマートウォッチを購入することを考えている場合は、もう一度考える必要があります

Children's Smartwatches Security Vulnerability

侵入テストの一環として、Rapid7の研究者は最近、子供用スマートウォッチ、G36子供用スマートウォッチ、SmarTurtles子供用スマートウォッチという3つのスマートウォッチをAmazonに注文しました。名前が示すように、それらはすべて子供用のスマートウォッチであり、親が子供を追跡し、必要に応じていつでも連絡できるように設計されています。専門家は、デバイスを少し調べた後、いくつかの深刻な脆弱性があると結論付けました。これらの脆弱性については、すぐにわかりますが、すぐには修正されないでしょう。 次にRapid7の調査結果を見てみましょう。子供向けにこれらのガジェットを購入する際に、気をつけたいことを心配している親に見せようとします。

実装が不十分なSMSベースの構成システムにより、3つの時計がサイバー犯罪者の餌食になりやすい

スマートウォッチを初めて設定するときは、有効なSIMカードを挿入し、Rapid7でテストされた3つのデバイスの場合、SMSを使用してスマートウォッチと通信します。ログインしたら(詳細は1分)、コマンドをテキストメッセージとして送信してデバイスの設定を構成し、携帯電話のモバイルアプリとペアリングし、時計と通信できる電話番号のホワイトリストを作成します。 。最後のステップは、子供のスマートウォッチで自分だけが制御できることを確認するのに役立つため、特に重要です。とにかくそれが起こるはずです。ただし、2つの基本的な問題があります。

1つは、単なるテキストメッセージの使用はあまり良い考えではありません。 過去にSMSの背後にある通信プロトコルがどれくらい古いかについて話してきましたが、 Rapid7の研究者がレポートで指摘しているように、送信者の電話番号のなりすましはまったく難しくありません。

つまり、他のすべてが正常に機能していても、Rapid7でテストされた時計のセキュリティはそれほど高くありません。残念ながら、他のすべてが正常に機能するわけではありません。

研究者は、初期セットアップ中に作成したホワイトリストがまったく機能しないことを発見しました。攻撃者はホワイトリストにない番号を使用して、ウォッチテキストメッセージを送信し、再構成し、デバイス上のアプリで動作するように設定することができます。つまり、子供の居場所を追跡し、メッセージを送信できます。これをすべて行う前に、ウォッチにログインする必要があります。つまり、パスワードをSMSとして送信する必要がありますが、これにも問題があります。

時計には弱いデフォルトのパスワードと悲惨なドキュメントが付属しています

このタイプのほとんどのデバイスと同様に、時計にはデフォルトのパスワードが付属しています。 3つのモデルすべてで、問題のパスワードは「 123456 」でしたが、これは理想的なシナリオではありません。それだけでは十分ではないように、パスワードを推測することはそれほど難しくないかもしれませんが、パスワードの変更方法を見つけることはまったく別の話です。

ユーザーマニュアルの認証メカニズムに関する明確な情報を期待している場合は、運が悪いです。マニュアルの1つには、パスワードがまったく記載されていません。別のデバイスではデフォルトのパスワードが言及されていますが、実際のマニュアルではなく、スマートウォッチ専用の翻訳されたブログ投稿で言及されています。 3番目の時計のベンダーは、文字列をパスワードとしてまったく特徴付けておらず、それを変更するために何ができるかについての情報を提供していません。

セキュリティの問題は修正できますか?

Rapid7で見つかったセキュリティホールを塞ぐことは、それほど難しくないはずです。より堅牢な通信方法のためにSMSを交換するには、バックエンド全体を大幅に再設計する必要がありますが、これは困難で費用がかかりますが、比較的単純なファームウェアの更新で、ホワイトリストの機能とより明確なパスワードリセットメカニズムを実装できます。より詳細なユーザーマニュアルを作成し、それを新規および既存のユーザーに配布することも、多くの労力を必要としません。残念ながら、ほとんどの場合、リスクを軽減するために何も行われません。

調査結果を公開する前に、Rapid7の研究者はベンダーと連絡を取り、問題の解決を支援したいと考えていました。残念ながら、Children's SmartWatchとG36 Children's SmartwatchのメーカーはAmazonマーケットプレイス以外ではオンラインで存在していません。サードベンダーのSmarTurtlesはウェブサイトを持っていますが、連絡先情報を他の人と共有しないことに決めました。世界。

これは、セキュリティの脆弱性を開示することが不可能であることを意味するだけではありません。また、子供の手首の追跡装置は、いかなる状況下でも連絡を取りたくない会社によって開発および販売される可能性があることを意味します。

明らかに、上記の脆弱性の影響を受けるスマートウォッチを子供に購入した場合、本当にそれが本当に必要かどうかを慎重に検討する必要があります。少なくとも、いくつかの調査を行い、デフォルトのパスワードを変更するようにしてください。デフォルトの状態では、認証メカニズムは存在しないのと同じくらい良好です。

また、子供用のスマートウォッチをまだ購入していないが、スマートウォッチを入手することを考えている場合にも、研究は報われます。オンラインで、注文する前に時計がどのように機能し、どのように通信するかを理解してください。ユーザーマニュアルを確認し、初期セットアップがデフォルトのパスワードに依存している場合は、すべてが起動して実行された後にそれを変更する十分に文書化された方法があることを確認してくださいレビューを読んで、他の人がどのような問題に対処しなければならなかったかを見てください。最後になりましたが、デバイスを提供している会社について詳しく学んでください。それが不可能な場合は、すぐに離れた方が良いでしょう。

Duran
December 16, 2019
News
日本語
December 16, 2019
News

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。