Jei galvojate apie savo vaiko pirkimą „Smartwatch“ iš „Amazon“, turite dar kartą pagalvoti
Dalyvaudami įsiskverbimo bandymo užduotyje, „Rapid7“ tyrėjai neseniai iš „Amazon“ užsisakė tris išmaniuosius laikrodžius - „vaikų išmanųjį laikrodį“, „G36“ vaikų išmanųjį laikrodį ir „SmarTurtles Kid“ išmanųjį laikrodį. Kaip rodo jų vardai, jie visi yra vaikų išmanieji laikrodžiai ir yra skirti padėti tėvams sekti savo vaikus ir su jais susisiekti, kai tik atsiranda poreikis. Truputį apžiūrėję prietaisus, ekspertai padarė išvadą, kad jie turi keletą rimtų pažeidžiamumų, kurie, kaip sužinosime per minutę, greičiausiai nebus greitai ištaisyti. Dabar apžvelgsime „Rapid7“ radinius ir pabandysime parodyti susirūpinusiems tėvams, į ką jie gali atkreipti dėmesį pirkdami šias programėles savo vaikams.
Table of Contents
Dėl prastai įdiegtos, SMS pagrįstos konfigūracijos sistemos trys laikrodžiai tampa lengvu elektroninių nusikaltėlių grobiu
Kai pirmą kartą nustatėte išmanųjį laikrodį, į jį įdėjote galiojančią SIM kortelę, o „Rapid7“ išbandytų trijų prietaisų atveju su juo bendraujate naudodami SMS. Kai prisijungiate (daugiau apie tai per minutę), siunčiate komandas kaip tekstinius pranešimus, kad sukonfigūruotumėte kai kuriuos įrenginio parametrus, suporuojate jį su mobiliąja programa telefone ir sukuriate telefonų, kurie gali susisiekti su laikrodžiu, baltąjį sąrašą.. Paskutinis žingsnis yra ypač svarbus, nes jis padeda įsitikinti, kad tik jūs galite valdyti savo vaiko išmanųjį laikrodį. Bet kokiu atveju tai turėtų įvykti. Vis dėlto yra dvi pagrindinės problemos.
Viena vertus, paprasčiausias tekstinių pranešimų naudojimas nėra labai gera idėja. Anksčiau kalbėjome apie tai, koks senas yra SMS žinučių perdavimo protokolas, ir kaip savo pranešime pabrėžia „Rapid7“ tyrėjai, sugadinti siuntėjo telefono numerį visai nėra sudėtinga.
Kitaip tariant, net jei viskas veikia taip, kaip turėtų, „Rapid7“ patikrintų laikrodžių saugumas nėra puikus. Deja, ne viskas kita veikia taip, kaip turėtų.
Tyrėjai išsiaiškino, kad baltojo sąrašo, kurį sukūrėte pradinio sąrankos metu, visiškai neveikia. Naudodamas numerį, kurio nėra baltajame sąraše, užpuolikas gali nusiųsti žiūrėjimo tekstinius pranešimus, juos iš naujo sukonfigūruoti ir nustatyti, kad jie dirbtų su jų įrenginio programa, tai reiškia, kad jie gali sekti vaiko buvimo vietą ir siųsti žinutes. Kad galėtumėte visa tai padaryti, turite prisijungti prie laikrodžio, tai reiškia, kad turite išsiųsti slaptažodį kaip SMS, tačiau taip pat yra problema.
Laikrodžiai aprūpinti silpnu numatytuoju slaptažodžiu ir apgailėtina dokumentacija
Kaip ir dauguma šio tipo įrenginių, laikrodžiai turi numatytąjį slaptažodį. Visų trijų modelių atveju minėtas slaptažodis buvo „123456“, o tai nėra idealus scenarijus. Tarsi to nepakaktų, o atspėti slaptažodį gali būti ne taip jau sudėtinga, supratimas, kaip jį pakeisti, yra visiškai kita istorija.
Jei tikitės aiškios informacijos apie autentifikavimo mechanizmus vartotojo vadovuose, jums nesiseka. Viename iš vadovų slaptažodis išvis neminimas. Kitas įrenginys mini numatytąjį slaptažodį, tačiau jis tai daro išverstame internetinio dienoraščio įraše, skirtame „smartwatch“, o ne pačiame vadove. Trečiojo laikrodžio pardavėjas visai ne apibūdina eilutę kaip slaptažodį ir nepateikia informacijos, ką galima padaryti norint ją pakeisti.
Ar saugos problemos gali būti išspręstos?
„Rapid7“ rastų saugos skylių uždarymas iš tikrųjų neturėtų būti toks sunkus. Keičiant SMS į tvirtesnį ryšio metodą, reiktų iš esmės perprojektuoti visą pagrindinę programą, o tai būtų sudėtinga ir brangu, tačiau veikiantį baltąjį sąrašą ir akivaizdesnį slaptažodžio nustatymo iš naujo mechanizmą galima įdiegti naudojant gana paprastą programinės įrangos atnaujinimą. Didesnis vartotojo vadovo sudarymas ir platinimas naujiems ir esamiems vartotojams taip pat nereikalauja daug pastangų. Deja, greičiausiai nieko nebus imamasi siekiant sumažinti riziką.
Prieš viešai paviešindami savo išvadas, „Rapid7“ tyrėjai norėjo susisiekti su pardavėjais ir padėti jiems išspręsti problemas. Deja, „vaikų išmaniojo laikrodžio“ ir „G36 vaikų išmaniojo laikrodžio“ gamintojas neturi jokios internetinės veiklos ne „Amazon“ prekyvietėje, ir nors trečiasis pardavėjas „SmarTurtles“ turi svetainę, ji nusprendė nebendrauti su likusia „ pasaulis.
Tai ne tik reiškia, kad neįmanoma atskleisti saugumo spragų. Tai taip pat reiškia, kad stebėjimo prietaisą ant vaiko riešo gali sukurti ir parduoti įmonė, kuri nenori, kad su ja susisiektumėte.
Akivaizdu, kad jei nusipirkote savo vaikams išmanųjį laikrodį, kuriam daro įtaką aukščiau išvardyti pažeidžiamumai, turėtumėte gerai pagalvoti, ar jums to tikrai reikia. Bent jau atlikite keletą tyrimų ir įsitikinkite, kad pakeitėte numatytąjį slaptažodį, nes jo autentiškumo nustatymo būsena yra tokia pat gera, kaip neegzistuojanti.
Tyrimai taip pat atsiperka, jei dar nenusipirkote išmaniojo laikrodžio savo vaikui, bet galvojate jį įsigyti. Prisijunkite prie interneto ir išsiaiškinkite, kaip laikrodis veikia ir kaip jūs su juo bendraujate prieš pateikdami užsakymą. Peržiūrėkite vartotojo vadovą ir įsitikinkite, kad jei pradinė sąranka priklauso nuo numatytojo slaptažodžio, yra gerai dokumentuotas būdas jį pakeisti, kai viskas susitvarkys ir veiks. Perskaitykite apžvalgas ir sužinokite, kokias problemas turėjo spręsti kiti žmonės. Paskutinis, bet ne mažiau svarbus dalykas - pabandykite sužinoti daugiau apie įmonę, siūlančią šį įrenginį. Jei to neįmanoma padaryti, geriau eiti tiesiog pėsčiomis.
