Hvis du tenker på å kjøpe barnet ditt en smartklokke fra Amazon, må du tenke nytt
Som en del av en penetrasjonstestingøvelse bestilte forskere fra Rapid7 nylig tre smartwatches fra Amazon - Children's SmartWatch, G36 Children's Smartwatch og SmarTurtles Kid's Smartwatch. Som navnene antyder, er de alle barnas smartur, og de er designet for å hjelpe foreldre med å holde rede på barna sine og kontakte dem når behovet dukker opp. Etter å ha kikket litt rundt på enhetene, konkluderte ekspertene med at de har noen alvorlige sårbarheter som, som vi vil finne ut om et øyeblikk, neppe vil bli løst snart. Vi skal nå se på Rapid7s funn, og vi skal prøve å vise bekymrede foreldre hva de måtte ønske å se etter når de kjøper disse dingsene til barna sine.
Table of Contents
Et dårlig implementert, SMS-basert konfigurasjonssystem gjør at de tre klokkene er lett bytte for nettkriminelle
Når du setter opp et smartur for første gang, legger du et gyldig SIM-kort i det, og når det gjelder de tre enhetene som er testet av Rapid7, kommuniserer du med det ved hjelp av SMS-er. Når du har logget deg på (mer om det om et minutt), sender du kommandoer som tekstmeldinger for å konfigurere noen av enhetens innstillinger, parer den med mobilappen på telefonen din, og oppretter en hviteliste over telefonnumre som kan kommunisere med klokken. Det siste trinnet er spesielt viktig fordi det hjelper deg å sørge for at bare du kan kontrollere med smartbarnet til barnet ditt. Det er det som skal skje, uansett. Det er imidlertid to grunnleggende problemer.
For det første er det ikke veldig bra å bruke tekstmeldinger. Vi har snakket tidligere om hvor gammel kommunikasjonsprotokollen bak SMS er, og som Rapid7s forskere påpeker i rapporten sin, er det ikke vanskelig å forfalske avsenders telefonnummer.
Med andre ord, selv om alt annet fungerer som det skal, er ikke sikkerheten til klokkene Rapid7 testet stor. Dessverre fungerer ikke alt annet som det skal.
Forskerne fant ut at hvitelisten du oppretter under det første oppsettet ikke er funksjonell i det hele tatt. Ved å bruke et nummer som ikke er på hvitelisten, kan en angriper sende klokkemeldingene, konfigurere den på nytt og sette den opp for å jobbe med en app på enheten deres, noe som betyr at de kan spore barnets oppholdssted og sende meldinger. Før du kan gjøre alt dette, må du logge deg på klokken, som betyr å sende et passord som en SMS, men det er et problem med dette også.
Klokkene har et svakt standardpassord og dårlig dokumentasjon
Som de fleste enheter av denne typen har klokkene et standardpassord. Med alle tre modellene var passordet det gjelder "123456", som ikke er et ideelt scenario. Som om det ikke var nok, selv om du gjetter passordet kanskje ikke er så vanskelig, er det en helt annen historie å finne ut hvordan du endrer det.
Hvis du forventer klar informasjon om autentiseringsmekanismer i brukerhåndbøkene, er du heldig. En av manualene nevner ikke passordet i det hele tatt. En annen enhet nevner standardpassordet, men gjør det i et oversatt blogginnlegg dedikert til smartwatch, ikke i selve manualen. Leverandøren av den tredje klokken karakteriserer ikke strengen som et passord i det hele tatt og gir ingen informasjon om hva som kan gjøres for å endre den.
Kan sikkerhetsproblemene løses?
Å koble sikkerhetshullene som Rapid7 fant, burde egentlig ikke være så vanskelig. Å bytte SMS etter en mer robust kommunikasjonsmetode vil kreve en større redesign av hele backend, noe som ville være vanskelig og dyrt, men en fungerende hviteliste og en mer åpenbar tilbakestillingsmekanisme for passord kan implementeres med en relativt enkel firmwareoppdatering. Å sette sammen en mer detaljert brukerveiledning og distribuere den til nye og eksisterende brukere krever heller ikke mye i veien for innsats. Dessverre vil det, etter all sannsynlighet, ikke gjøres noe for å dempe risikoen.
Før de offentliggjorde funnene sine, ønsket Rapid7s forskere å komme i kontakt med leverandørene og hjelpe dem med å løse problemene. Dessverre har ikke produsenten av Children's SmartWatch og G36 Children's Smartwatch noen online tilstedeværelse utenfor Amazonas marked, og selv om den tredje leverandøren, SmarTurtles, har et nettsted, har det besluttet å ikke dele noen kontaktinformasjon med resten av verden.
Dette betyr ikke bare at det er umulig å avsløre sikkerhetsproblemer. Det betyr også at sporingsenheten på håndleddet til ditt barn kan bli utviklet og solgt av et selskap som ikke vil at du skal kontakte den under noen omstendigheter.
Hvis du har kjøpt barna dine et smartur som er påvirket av sårbarhetene ovenfor, bør du selvfølgelig tenke nøye gjennom om du virkelig trenger det så sårt. I det minste må du undersøke og sørge for at du endrer standardpassordet fordi autentiseringsmekanismen i sin out-of-the-box-tilstand er så god som ikke-eksisterende.
Forskning vil også lønne seg hvis du ennå ikke har kjøpt smartklokke til barnet ditt, men tenker å få en. Gå på nettet og finn ut hvordan klokken fungerer og hvordan du kommuniserer med den før du legger inn bestillingen. Sjekk ut bruksanvisningen og sørg for at hvis den første installasjonen er avhengig av et standardpassord, er det en godt dokumentert måte å endre det når alt er i gang. Les anmeldelser og se hva slags problemer andre mennesker har hatt å gjøre med. Sist men ikke minst, prøv å lære mer om selskapet som tilbyr enheten. Hvis det ikke er mulig, har du det bedre bare å gå bort.
