Se você está pensando em comprar um Smartwatch para o seu filho na Amazon, precisa pensar novamente
Como parte de um exercício de teste de penetração, os pesquisadores do Rapid7 encomendaram recentemente três smartwatches da Amazon - o Children's SmartWatch, o G36 Children's Smartwatch e o SmarTurtles Kid's Smartwatch. Como seus nomes sugerem, eles são todos os relógios inteligentes para crianças e foram projetados para ajudar os pais a acompanhar seus filhos e entrar em contato com eles sempre que necessário. Depois de bisbilhotar um pouco os dispositivos, os especialistas concluíram que eles têm algumas vulnerabilidades sérias que, como descobriremos em um minuto, dificilmente serão corrigidas em breve. Vamos agora dar uma olhada nas descobertas do Rapid7 e tentar mostrar aos pais preocupados o que eles podem querer procurar ao comprar esses gadgets para os filhos.
Índice
Um sistema de configuração baseado em SMS e mal implementado torna os três relógios presas fáceis para cibercriminosos
Quando você configura um smartwatch pela primeira vez, coloca um cartão SIM válido e, no caso dos três dispositivos testados pelo Rapid7, você se comunica com ele usando SMS. Depois de fazer login (mais sobre isso em um minuto), você envia comandos como mensagens de texto para definir algumas das configurações do dispositivo, emparelha-o com o aplicativo móvel do telefone e cria uma lista de desbloqueio de números de telefone que podem se comunicar com o relógio. O último passo é especialmente importante porque ajuda a garantir que apenas você possa controlar com o smartwatch do seu filho. É o que deveria acontecer, de qualquer maneira. Existem dois problemas fundamentais, no entanto.
Por um lado, o simples uso de mensagens de texto não é uma boa ideia. Falamos no passado sobre a idade do protocolo de comunicação por trás do SMS e, como os pesquisadores do Rapid7 apontam em seu relatório, falsificar o número de telefone do remetente não é nada difícil.
Em outras palavras, mesmo que tudo funcione como deveria, a segurança dos relógios que o Rapid7 testou não é boa. Infelizmente, nem tudo funciona como deveria.
Os pesquisadores descobriram que a lista de permissões criada durante a configuração inicial não é funcional. Usando um número que não está na lista de desbloqueio, um invasor pode enviar as mensagens de texto de observação, reconfigurá-lo e configurá-lo para funcionar com um aplicativo em seu dispositivo, o que significa que eles podem rastrear o paradeiro da criança e enviar mensagens. Antes de fazer tudo isso, é necessário fazer login no relógio, o que significa enviar uma senha como um SMS, mas também há um problema com isso.
Os relógios vêm com uma senha padrão fraca e documentação lamentável
Como a maioria dos dispositivos desse tipo, os relógios vêm com uma senha padrão. Nos três modelos, a senha em questão era "123456", o que não é um cenário ideal. Como se isso não bastasse, adivinhar a senha pode não ser tão difícil, descobrir como alterá-la é uma história completamente diferente.
Se você espera informações claras sobre os mecanismos de autenticação nos manuais do usuário, está sem sorte. Um dos manuais não menciona a senha. Outro dispositivo menciona a senha padrão, mas faz isso em uma postagem de blog traduzida dedicada ao smartwatch, não no manual real. O fornecedor do terceiro relógio não caracteriza a string como uma senha e não fornece informações sobre o que pode ser feito para alterá-la.
Os problemas de segurança podem ser corrigidos?
Conectar as falhas de segurança encontradas pelo Rapid7 não deve ser tão difícil assim. A troca de SMS por um método de comunicação mais robusto exigiria uma grande reformulação de todo o back-end, o que seria difícil e caro, mas uma lista de permissões em funcionamento e um mecanismo de redefinição de senha mais óbvio podem ser implementados com uma atualização de firmware relativamente simples. Montar um manual do usuário mais detalhado e distribuí-lo a usuários novos e existentes também não exige muito esforço. Infelizmente, com toda a probabilidade, nada será feito para mitigar o risco.
Antes de divulgar publicamente suas descobertas, os pesquisadores do Rapid7 queriam entrar em contato com os fornecedores e ajudá-los a resolver os problemas. Infelizmente, o fabricante do Children's SmartWatch e do G36 Children's Smartwatch não tem presença on-line fora do mercado Amazon e, embora o terceiro fornecedor, SmarTurtles, tenha um site, decidiu não compartilhar nenhuma informação de contato com o restante o mundo.
Isso não significa apenas que a divulgação de vulnerabilidades de segurança é impossível. Isso também significa que o dispositivo de rastreamento no pulso do seu filho pode ser desenvolvido e vendido por uma empresa que não deseja que você entre em contato com ele em nenhuma circunstância.
Obviamente, se você comprou para seus filhos um smartwatch afetado pelas vulnerabilidades listadas acima, pense cuidadosamente se realmente precisa muito disso. No mínimo, faça uma pesquisa e certifique-se de alterar a senha padrão porque, no estado pronto para o uso, o mecanismo de autenticação é tão bom quanto inexistente.
A pesquisa também será recompensada se você ainda não comprou um smartwatch para o seu filho, mas está pensando em adquiri-lo. Fique on-line e descubra como o relógio funciona e como você se comunica com ele antes de fazer o pedido. Confira o manual do usuário e verifique se a configuração inicial depende de uma senha padrão, existe uma maneira bem documentada de alterá-la quando tudo estiver funcionando. Leia as resenhas e veja com que tipo de problemas outras pessoas tiveram que lidar. Por último, mas não menos importante, tente aprender mais sobre a empresa que oferece o dispositivo. Se isso não for possível, é melhor você ir embora.
