Если вы думаете о том, чтобы купить вашему ребенку SmartWatch от Amazon, вам нужно подумать еще раз
В рамках тестирования на проникновение исследователи из Rapid7 недавно заказали у Amazon три умные часы - детские умные часы, детские умные часы G36 и умные часы для детей SmarTurtles. Как следует из их имен, все они - умные часы для детей, и они призваны помочь родителям следить за своими детьми и связываться с ними всякий раз, когда возникает необходимость. Немного покопавшись в устройствах, эксперты пришли к выводу, что у них есть несколько серьезных уязвимостей, которые, как мы выясним через минуту, вряд ли будут исправлены в ближайшее время. Теперь мы рассмотрим выводы Rapid7 и попытаемся показать заинтересованным родителям, на что они могли бы обратить внимание при покупке этих гаджетов для своих детей.
Table of Contents
Плохо реализованная система конфигурации на основе SMS делает три часы легкой добычей для киберпреступников
Когда вы настраиваете умные часы в первый раз, вы вставляете в них действительную SIM-карту, а в случае трех устройств, протестированных Rapid7, вы общаетесь с ними с помощью SMS-сообщений. После входа в систему (подробнее об этом через минуту) вы отправляете команды в виде текстовых сообщений для настройки некоторых параметров устройства, связывания его с мобильным приложением на вашем телефоне и создания белого списка телефонных номеров, которые могут связываться с часами. Последний шаг особенно важен, потому что он помогает вам контролировать умные часы вашего ребенка. Это то, что должно произойти, в любом случае. Однако есть две фундаментальные проблемы.
С одной стороны, простое использование текстовых сообщений не очень хорошая идея. В прошлом мы говорили о том, сколько лет протоколу обмена SMS-сообщениями, и, как отмечают исследователи Rapid7 в своем отчете, подделка номера телефона отправителя совсем не сложна.
Другими словами, даже если все остальное работает как надо, безопасность часов, протестированных Rapid7, невелика. К сожалению, не все остальное работает как надо.
Исследователи обнаружили, что белый список, который вы создаете во время начальной настройки, вообще не работает. Используя номер, которого нет в белом списке, злоумышленник может отправлять текстовые сообщения просмотра, перенастраивать его и настраивать его для работы с приложением на своем устройстве, то есть он может отслеживать местонахождение ребенка и отправлять сообщения. Прежде чем вы сможете сделать все это, вам необходимо войти в часы, что означает отправку пароля в виде SMS, но с этим тоже есть проблема.
Часы поставляются со слабым паролем по умолчанию и ужасной документацией
Как и большинство устройств этого типа, часы поставляются с паролем по умолчанию. Для всех трех моделей рассматриваемый пароль был «123456», что не является идеальным сценарием. Как будто этого было недостаточно, хотя угадать пароль не так уж и сложно, выяснить, как его изменить, - это совсем другая история.
Если вы ожидаете четкой информации о механизмах аутентификации в руководствах пользователя, вам не повезло. В одном из руководств пароль вообще не упоминается. Другое устройство упоминает пароль по умолчанию, но оно упоминается в переведенном сообщении в блоге, посвященном умным часам, а не в настоящем руководстве. Производитель третьих часов вообще не характеризует строку как пароль и не дает никакой информации о том, что можно сделать, чтобы изменить ее.
Можно ли устранить проблемы безопасности?
Закрепление дыр в безопасности, обнаруженных Rapid7, не должно быть таким уж сложным. Замена SMS на более надежный способ связи потребовала бы серьезного изменения всей серверной части, что было бы сложно и дорого, но рабочий белый список и более очевидный механизм сброса пароля могут быть реализованы с помощью относительно простого обновления прошивки. Составление более подробного руководства пользователя и распространение его среди новых и существующих пользователей также не требует особых усилий. К сожалению, по всей вероятности, ничего не будет сделано для снижения риска.
Перед публичным раскрытием своих результатов исследователи Rapid7 хотели связаться с поставщиками и помочь им решить проблемы. К сожалению, производитель детских умных часов SmartWatch и детских умных часов G36 не имеет онлайн-присутствия за пределами рынка Amazon, и хотя у третьего поставщика, SmarTurtles, есть веб-сайт, он решил не передавать контактную информацию остальным мир.
Это не только означает, что раскрытие уязвимостей безопасности невозможно. Это также означает, что устройство отслеживания на запястье вашего ребенка может быть разработано и продано компанией, которая не хочет, чтобы вы связывались с ним ни при каких обстоятельствах.
Очевидно, что если вы купили своих детей умными часами, на которые влияют перечисленные выше уязвимости, вам следует тщательно подумать, действительно ли они вам так нужны. По крайней мере, проведите некоторое исследование и убедитесь, что вы изменили пароль по умолчанию, потому что в его состоянии «из коробки» механизм аутентификации практически не существует.
Исследования также окупятся, если вы еще не купили умные часы для своего ребенка, но хотите их приобрести. Зайдите в онлайн и выясните, как часы работают и как вы общаетесь с ними, прежде чем разместить заказ. Ознакомьтесь с руководством пользователя и убедитесь, что, если первоначальная настройка зависит от пароля по умолчанию, существует хорошо документированный способ его изменения, когда все запущено и работает. Прочитайте отзывы и посмотрите, с какими проблемами столкнулись другие люди. И последнее, но не менее важное: попробуйте узнать больше о компании, предлагающей это устройство. Если это невозможно, лучше просто уйти.
