Als u erover denkt om uw kind een smartwatch van Amazon te kopen, moet u opnieuw nadenken
Als onderdeel van een penetratietest hebben onderzoekers van Rapid7 onlangs drie smartwatches bij Amazon besteld: de Children's SmartWatch, de G36 Children's Smartwatch en de SmarTurtles Kid's Smartwatch. Zoals hun namen al suggereren, zijn het allemaal smartwatches voor kinderen, en ze zijn ontworpen om ouders te helpen hun kinderen bij te houden en contact met hen op te nemen wanneer dat nodig is. Na een tijdje rond de apparaten te hebben rondgekeken, concludeerden de experts dat ze een paar ernstige kwetsbaarheden hebben die, zoals we zo dadelijk zullen ontdekken, waarschijnlijk niet snel zullen worden opgelost. We zullen nu de bevindingen van Rapid7 bekijken en we zullen de betrokken ouders proberen te laten zien waar ze op kunnen letten bij het kopen van deze gadgets voor hun kinderen.
Table of Contents
Een slecht geïmplementeerd, op SMS gebaseerd configuratiesysteem maakt de drie horloges een gemakkelijke prooi voor cybercriminelen
Wanneer u voor het eerst een smartwatch instelt, plaatst u er een geldige simkaart in en in het geval van de drie apparaten die door Rapid7 zijn getest, communiceert u ermee via sms-berichten. Nadat u bent ingelogd (meer daarover in een minuut), stuurt u opdrachten als tekstberichten om enkele instellingen van het apparaat te configureren, koppelt u deze aan de mobiele app op uw telefoon en maakt u een witte lijst met telefoonnummers die kunnen communiceren met het horloge. De laatste stap is vooral belangrijk omdat het u helpt ervoor te zorgen dat alleen u kunt bedienen met de smartwatch van uw kind. Dat is toch wat er zou moeten gebeuren. Er zijn echter twee fundamentele problemen.
Ten eerste is alleen het gebruik van sms-berichten geen goed idee. We hebben in het verleden gesproken over hoe oud het communicatieprotocol achter sms is, en zoals onderzoekers van Rapid7 in hun rapport aangeven, is het spoofen van het telefoonnummer van de afzender helemaal niet moeilijk.
Met andere woorden, zelfs als al het andere naar behoren werkt, is de beveiliging van de Rapid7-horloges niet geweldig. Helaas werkt niet al het andere zoals het hoort.
De onderzoekers kwamen erachter dat de witte lijst die u tijdens de eerste installatie maakt, helemaal niet functioneert. Met behulp van een nummer dat niet op de witte lijst staat, kan een aanvaller de wachttekstberichten verzenden, opnieuw configureren en instellen om te werken met een app op zijn apparaat, wat betekent dat ze de verblijfplaats van het kind kunnen volgen en berichten kunnen verzenden. Voordat u dit allemaal kunt doen, moet u zich aanmelden bij het horloge, wat betekent dat u een wachtwoord als een sms moet verzenden, maar er is ook een probleem.
De horloges worden geleverd met een zwak standaardwachtwoord en treurige documentatie
Zoals de meeste apparaten van dit type, hebben de horloges een standaardwachtwoord. Bij alle drie de modellen was het wachtwoord in kwestie "123456", wat geen ideaal scenario is. Alsof dat niet genoeg was, terwijl het raden van het wachtwoord misschien niet zo moeilijk is, is het uitzoeken van een ander verhaal een heel ander verhaal.
Als je duidelijke informatie verwacht over de authenticatiemechanismen in de gebruikershandleidingen, heb je pech. In een van de handleidingen wordt het wachtwoord helemaal niet vermeld. Een ander apparaat vermeldt het standaardwachtwoord, maar het doet het in een vertaalde blogpost gewijd aan de smartwatch, niet in de eigenlijke handleiding. De verkoper van het derde horloge kenmerkt de reeks helemaal niet als een wachtwoord en geeft geen informatie over wat er kan worden gedaan om het te wijzigen.
Kunnen de beveiligingsproblemen worden opgelost?
Het dichten van de beveiligingsgaten die Rapid7 heeft gevonden, zou niet zo moeilijk moeten zijn. Het ruilen van sms voor een robuustere communicatiemethode zou een ingrijpend herontwerp van de hele backend vereisen, wat moeilijk en duur zou zijn, maar een werkende witte lijst en een duidelijker wachtwoord-resetmechanisme kunnen worden geïmplementeerd met een relatief eenvoudige firmware-update. Het samenstellen van een meer gedetailleerde gebruikershandleiding en het distribueren ervan naar nieuwe en bestaande gebruikers vergt ook weinig inspanning. Helaas zal er naar alle waarschijnlijkheid niets worden gedaan om het risico te verminderen.
Voordat Rapid7-onderzoekers hun bevindingen openbaar maakten, wilden ze contact opnemen met de leveranciers en hen helpen de problemen op te lossen. Helaas heeft de maker van de Children's SmartWatch en de G36 Children's Smartwatch geen online aanwezigheid buiten de Amazon-marktplaats, en hoewel de derde leverancier, SmarTurtles, een website heeft, heeft hij besloten geen contactinformatie met de rest van de wereld.
Dit betekent niet alleen dat het vrijgeven van beveiligingskwetsbaarheden onmogelijk is. Het betekent ook dat het volgapparaat op de pols van uw kind kan worden ontwikkeld en verkocht door een bedrijf dat onder geen enkele voorwaarde wil dat u ermee contact maakt.
Als u uw kinderen een smartwatch heeft gekocht die is getroffen door de hierboven genoemde kwetsbaarheden, moet u natuurlijk goed nadenken of u het echt zo hard nodig hebt. Doe op zijn minst wat onderzoek en zorg ervoor dat u het standaardwachtwoord wijzigt, omdat het authenticatiemechanisme in de kant-en-klare staat zo goed als niet bestaat.
Onderzoek loont ook als u nog geen smartwatch voor uw kind hebt gekocht, maar erover denkt er een te kopen. Ga online en zoek uit hoe het horloge werkt en hoe u ermee communiceert voordat u de bestelling plaatst. Bekijk de gebruikershandleiding en zorg ervoor dat als de initiële installatie afhankelijk is van een standaardwachtwoord, er een goed gedocumenteerde manier is om dit te wijzigen zodra alles actief is. Lees de beoordelingen en kijk wat voor problemen andere mensen hebben gehad. Last but not least, probeer meer te weten te komen over het bedrijf dat het apparaat aanbiedt. Als dat niet mogelijk is, kun je beter gewoon weglopen.
