Jeśli zastanawiasz się nad zakupem swojego smartwatcha od Amazon, musisz pomyśleć jeszcze raz
W ramach testu penetracyjnego badacze z Rapid7 zamówili niedawno trzy Amazon zegarki - SmartWatch dla dzieci, Smartwatch dla dzieci G36 i Smartwatch dla dzieci SmarTurtles. Jak sugerują ich nazwy, wszystkie są smartwatche dla dzieci i mają na celu pomóc rodzicom śledzić ich dzieci i kontaktować się z nimi, gdy zajdzie taka potrzeba. Po krótkiej analizie urządzeń eksperci doszli do wniosku, że mają kilka poważnych luk w zabezpieczeniach, które, jak się przekonamy za chwilę, prawdopodobnie nie zostaną naprawione w najbliższym czasie. Przyjrzymy się teraz odkryciom Rapid7 i spróbujemy pokazać zaniepokojonym rodzicom, na co mogą zwrócić uwagę przy zakupie tych gadżetów dla swoich dzieci.
Table of Contents
Źle zaimplementowany system konfiguracji oparty na SMSach sprawia, że trzy zegarki stają się łatwym łupem dla cyberprzestępców
Podczas konfigurowania smartwatcha po raz pierwszy wkładasz do niego ważną kartę SIM, aw przypadku trzech urządzeń testowanych przez Rapid7 komunikujesz się z nią za pomocą SMS-ów. Po zalogowaniu (więcej o tym za minutę) wysyłasz polecenia jako wiadomości tekstowe, aby skonfigurować niektóre ustawienia urządzenia, sparować je z aplikacją mobilną w telefonie i utworzyć białą listę numerów telefonów, które mogą komunikować się z zegarkiem. Ostatni krok jest szczególnie ważny, ponieważ pomaga upewnić się, że tylko Ty możesz kontrolować za pomocą smartwatcha swojego dziecka. W każdym razie to właśnie powinno się zdarzyć. Istnieją jednak dwa podstawowe problemy.
Po pierwsze, samo użycie wiadomości tekstowych nie jest zbyt dobrym pomysłem. W przeszłości rozmawialiśmy o tym, ile lat ma protokół komunikacyjny za SMS-em, a jak wskazują badacze Rapid7 w swoim raporcie, podszywanie się pod numer telefonu nadawcy wcale nie jest trudne.
Innymi słowy, nawet jeśli wszystko inne działa tak, jak powinno, bezpieczeństwo testowanych zegarków Rapid7 nie jest świetne. Niestety nie wszystko inne działa tak, jak powinno.
Naukowcy odkryli, że biała lista utworzona podczas początkowej konfiguracji w ogóle nie działa. Korzystając z numeru, który nie znajduje się na białej liście, osoba atakująca może wysłać wiadomości tekstowe, ponownie skonfigurować i skonfigurować go do pracy z aplikacją na swoim urządzeniu, co oznacza, że może śledzić miejsce pobytu dziecka i wysyłać wiadomości. Zanim to wszystko zrobisz, musisz zalogować się do zegarka, co oznacza wysłanie hasła jako SMS, ale z tym też jest problem.
Zegarki mają słabe domyślne hasło i żałosną dokumentację
Podobnie jak większość urządzeń tego typu, zegarki są dostarczane z domyślnym hasłem. W przypadku wszystkich trzech modeli hasło to brzmiało „123456”, co nie jest idealnym scenariuszem. Jakby tego było mało, odgadnięcie hasła może nie być takie trudne, wymyślenie, jak to zmienić, to zupełnie inna historia.
Jeśli oczekujesz jasnych informacji na temat mechanizmów uwierzytelniania w instrukcjach obsługi, nie masz szczęścia. Jeden z podręczników w ogóle nie wymienia hasła. Inne urządzenie wspomina o domyślnym haśle, ale robi to w przetłumaczonym wpisie na blogu poświęconym smartwatchowi, a nie w rzeczywistej instrukcji. Sprzedawca trzeciego zegarka w ogóle nie charakteryzuje łańcucha jako hasła i nie podaje żadnych informacji, co można zrobić, aby go zmienić.
Czy problemy bezpieczeństwa można naprawić?
Zatkanie dziur w zabezpieczeniach znalezionych w Rapid7 nie powinno być wcale takie trudne. Zamiana SMS-ów na bardziej niezawodną metodę komunikacji wymagałaby poważnego przeprojektowania całego zaplecza, co byłoby trudne i kosztowne, ale działającą białą listę i bardziej oczywisty mechanizm resetowania hasła można wdrożyć przy stosunkowo prostej aktualizacji oprogramowania układowego. Zebranie bardziej szczegółowej instrukcji obsługi i rozpowszechnienie jej wśród nowych i istniejących użytkowników również nie wymaga dużego wysiłku. Niestety, najprawdopodobniej nie zostaną podjęte żadne działania w celu ograniczenia ryzyka.
Przed publicznym ujawnieniem swoich odkryć badacze Rapid7 chcieli skontaktować się z dostawcami i pomóc im rozwiązać problemy. Niestety, twórca SmartWatch dla dzieci i Smartwatch dla dzieci G36 nie jest obecny w Internecie poza rynkiem Amazon i chociaż trzeci sprzedawca, SmarTurtles, ma witrynę internetową, postanowił nie udostępniać żadnych danych kontaktowych pozostałym świat.
Oznacza to nie tylko, że ujawnienie luk w zabezpieczeniach jest niemożliwe. Oznacza to również, że urządzenie śledzące na nadgarstku dziecka może zostać opracowane i sprzedane przez firmę, która w żadnym wypadku nie chce, abyś się z nim skontaktował.
Oczywiście, jeśli kupiłeś swoim dzieciom smartwatch, na który mają wpływ wymienione wyżej luki, powinieneś dokładnie przemyśleć, czy naprawdę potrzebujesz go tak bardzo. Przynajmniej zbadaj i upewnij się, że zmienisz domyślne hasło, ponieważ w stanie gotowym do użycia mechanizm uwierzytelniania jest tak dobry, jak nieistniejący.
Badania również się opłacą, jeśli jeszcze nie kupiłeś smartwatcha dla swojego dziecka, ale zastanawiasz się nad jego zakupem. Przejdź do trybu online i dowiedz się, jak działa zegarek i jak się z nim komunikujesz przed złożeniem zamówienia. Zapoznaj się z instrukcją obsługi i upewnij się, że jeśli początkowa konfiguracja opiera się na domyślnym haśle, istnieje dobrze udokumentowany sposób jego zmiany, gdy wszystko się uruchomi. Przeczytaj recenzje i zobacz, z jakimi problemami borykają się inni ludzie. Na koniec spróbuj dowiedzieć się więcej o firmie oferującej urządzenie. Jeśli nie jest to możliwe, lepiej po prostu odejdź.
