Amazonから子供にスマートウォッチを購入することを考えている場合は、もう一度考える必要があります
侵入テストの一環として、Rapid7の研究者は最近、子供用スマートウォッチ、G36子供用スマートウォッチ、SmarTurtles子供用スマートウォッチという3つのスマートウォッチをAmazonに注文しました。名前が示すように、それらはすべて子供用のスマートウォッチであり、親が子供を追跡し、必要に応じていつでも連絡できるように設計されています。専門家は、デバイスを少し調べた後、いくつかの深刻な脆弱性があると結論付けました。これらの脆弱性については、すぐにわかりますが、すぐには修正されないでしょう。 次に 、 Rapid7の調査結果を見てみましょう。子供向けにこれらのガジェットを購入する際に、気をつけたいことを心配している親に見せようとします。
Table of Contents
実装が不十分なSMSベースの構成システムにより、3つの時計がサイバー犯罪者の餌食になりやすい
スマートウォッチを初めて設定するときは、有効なSIMカードを挿入し、Rapid7でテストされた3つのデバイスの場合、SMSを使用してスマートウォッチと通信します。ログインしたら(詳細は1分)、コマンドをテキストメッセージとして送信してデバイスの設定を構成し、携帯電話のモバイルアプリとペアリングし、時計と通信できる電話番号のホワイトリストを作成します。 。最後のステップは、子供のスマートウォッチで自分だけが制御できることを確認するのに役立つため、特に重要です。とにかくそれが起こるはずです。ただし、2つの基本的な問題があります。
1つは、単なるテキストメッセージの使用はあまり良い考えではありません。 過去にSMSの背後にある通信プロトコルがどれくらい古いかについて話してきましたが、 Rapid7の研究者がレポートで指摘しているように、送信者の電話番号のなりすましはまったく難しくありません。
つまり、他のすべてが正常に機能していても、Rapid7でテストされた時計のセキュリティはそれほど高くありません。残念ながら、他のすべてが正常に機能するわけではありません。
研究者は、初期セットアップ中に作成したホワイトリストがまったく機能しないことを発見しました。攻撃者はホワイトリストにない番号を使用して、ウォッチテキストメッセージを送信し、再構成し、デバイス上のアプリで動作するように設定することができます。つまり、子供の居場所を追跡し、メッセージを送信できます。これをすべて行う前に、ウォッチにログインする必要があります。つまり、パスワードをSMSとして送信する必要がありますが、これにも問題があります。
時計には弱いデフォルトのパスワードと悲惨なドキュメントが付属しています
このタイプのほとんどのデバイスと同様に、時計にはデフォルトのパスワードが付属しています。 3つのモデルすべてで、問題のパスワードは「 123456 」でしたが、これは理想的なシナリオではありません。それだけでは十分ではないように、パスワードを推測することはそれほど難しくないかもしれませんが、パスワードの変更方法を見つけることはまったく別の話です。
ユーザーマニュアルの認証メカニズムに関する明確な情報を期待している場合は、運が悪いです。マニュアルの1つには、パスワードがまったく記載されていません。別のデバイスではデフォルトのパスワードが言及されていますが、実際のマニュアルではなく、スマートウォッチ専用の翻訳されたブログ投稿で言及されています。 3番目の時計のベンダーは、文字列をパスワードとしてまったく特徴付けておらず、それを変更するために何ができるかについての情報を提供していません。
セキュリティの問題は修正できますか?
Rapid7で見つかったセキュリティホールを塞ぐことは、それほど難しくないはずです。より堅牢な通信方法のためにSMSを交換するには、バックエンド全体を大幅に再設計する必要がありますが、これは困難で費用がかかりますが、比較的単純なファームウェアの更新で、ホワイトリストの機能とより明確なパスワードリセットメカニズムを実装できます。より詳細なユーザーマニュアルを作成し、それを新規および既存のユーザーに配布することも、多くの労力を必要としません。残念ながら、ほとんどの場合、リスクを軽減するために何も行われません。
調査結果を公開する前に、Rapid7の研究者はベンダーと連絡を取り、問題の解決を支援したいと考えていました。残念ながら、Children's SmartWatchとG36 Children's SmartwatchのメーカーはAmazonマーケットプレイス以外ではオンラインで存在していません。サードベンダーのSmarTurtlesはウェブサイトを持っていますが、連絡先情報を他の人と共有しないことに決めました。世界。
これは、セキュリティの脆弱性を開示することが不可能であることを意味するだけではありません。また、子供の手首の追跡装置は、いかなる状況下でも連絡を取りたくない会社によって開発および販売される可能性があることを意味します。
明らかに、上記の脆弱性の影響を受けるスマートウォッチを子供に購入した場合、本当にそれが本当に必要かどうかを慎重に検討する必要があります。少なくとも、いくつかの調査を行い、デフォルトのパスワードを変更するようにしてください。デフォルトの状態では、認証メカニズムは存在しないのと同じくらい良好です。
また、子供用のスマートウォッチをまだ購入していないが、スマートウォッチを入手することを考えている場合にも、研究は報われます。オンラインで、注文する前に時計がどのように機能し、どのように通信するかを理解してください。ユーザーマニュアルを確認し、初期セットアップがデフォルトのパスワードに依存している場合は、すべてが起動して実行された後にそれを変更する十分に文書化された方法があることを確認してくださいレビューを読んで、他の人がどのような問題に対処しなければならなかったかを見てください。最後になりましたが、デバイスを提供している会社について詳しく学んでください。それが不可能な場合は、すぐに離れた方が良いでしょう。