Om du funderar på att köpa ditt barn ett smartur från Amazon måste du tänka igen
Som en del av en penetrationstestövning beställde forskare från Rapid7 nyligen tre smartwatches från Amazon - Children's SmartWatch, G36 Children's Smartwatch och SmarTurtles Kid's Smartwatch. Som deras namn antyder är de alla barnens smartur och de är utformade för att hjälpa föräldrar att hålla reda på sina barn och kontakta dem när behov uppstår. Efter att ha tittat lite om enheterna drog experterna slutsatsen att de har några allvarliga sårbarheter som, som vi kommer att ta reda på om en minut, troligen inte kommer att åtgärdas snart. Vi tittar nu på Rapid7: s resultat, och vi ska försöka visa berörda föräldrar vad de kanske vill se upp när de köper dessa prylar till sina barn.
Table of Contents
Ett dåligt implementerat, SMS-baserat konfigurationssystem gör att de tre klockorna är lätta att byta för cyberbrottslingar
När du ställer in ett smartwatch för första gången sätter du ett giltigt SIM-kort i det, och när det gäller de tre enheter som testats av Rapid7, kommunicerar du med det med SMS. När du loggar in (mer om det på en minut) skickar du kommandon som textmeddelanden för att konfigurera en del av enhetens inställningar, koppla ihop den med mobilappen på din telefon och skapa en vitlista över telefonnummer som kan kommunicera med klockan. Det sista steget är särskilt viktigt eftersom det hjälper dig att se till att bara du kan kontrollera med ditt barns smartur. Det är vad som ska hända i alla fall. Det finns dock två grundläggande problem.
För det ena är att bara användning av textmeddelanden inte är så bra idé. Vi har tidigare pratat om hur gammalt kommunikationsprotokollet bakom SMS är, och som Rapid7s forskare påpekar i sin rapport, är det inte svårt att förfalska avsändarens telefonnummer.
Med andra ord, även om allt annat fungerar som det ska, är säkerheten för de klockor som Rapid7 testas inte stor. Tyvärr fungerar inte allt annat som det borde.
Forskarna fick reda på att vitlistan du skapar under den första installationen inte är funktionell alls. Med hjälp av ett nummer som inte finns på vitlistan kan en angripare skicka klockans textmeddelanden, konfigurera den igen och ställa in den för att arbeta med en app på sin enhet, vilket innebär att de kan spåra barnets vistelseort och skicka meddelanden. Innan du kan göra allt detta måste du logga in på klockan, vilket betyder att skicka ett lösenord som ett SMS, men det finns också ett problem med det här.
Klockorna har ett svagt standardlösenord och svår dokumentation
Som de flesta enheter av denna typ har klockorna ett standardlösenord. Med alla tre modellerna var lösenordet i fråga "123456", vilket inte är ett idealiskt scenario. Som om det inte räckte, men att gissa lösenordet kanske inte är så svårt, att räkna ut hur man ändrar det är en helt annan historia.
Om du förväntar dig tydlig information om autentiseringsmekanismerna i användarhandböckerna har du turen. En av manualerna nämner inte lösenordet alls. En annan enhet nämner standardlösenordet, men gör det i ett översatt blogginlägg tillägnad smartwatch, inte i själva manualen. Säljaren av den tredje klockan karakteriserar inte strängen som ett lösenord alls och ger ingen information om vad som kan göras för att ändra den.
Kan säkerhetsproblemen åtgärdas?
Att koppla in säkerhetshålen som Rapid7 hittades borde inte vara så svårt. Att byta SMS för en mer robust kommunikationsmetod kräver en större ombyggnad av hela backend, vilket skulle vara svårt och dyrt, men en fungerande vitlista och en mer uppenbar mekanism för återställning av lösenord kan implementeras med en relativt enkel firmwareuppdatering. Att sätta ihop en mer detaljerad användarmanual och distribuera den till nya och befintliga användare kräver inte heller mycket för ansträngningen. Tyvärr, med all sannolikhet, kommer inget att göras för att mildra risken.
Innan Rapid7: s forskare offentliggjorde sina resultat, ville forskarna komma i kontakt med leverantörerna och hjälpa dem att lösa problemen. Tyvärr har tillverkaren av Children's SmartWatch och G36 Children's Smartwatch inte någon online-närvaro utanför Amazonas marknadsplats, och även om den tredje leverantören, SmarTurtles, har en webbplats, har den beslutat att inte dela någon kontaktinformation med resten av världen.
Detta betyder inte bara att det är omöjligt att avslöja säkerhetsproblem. Det betyder också att spårningsenheten på ditt barns handled kan utvecklas och säljas av ett företag som inte vill att du ska kontakta den under några omständigheter.
Uppenbarligen, om du har köpt dina barn ett smartur som påverkas av ovanstående sårbarheter, bör du tänka noga över om du verkligen behöver det så dåligt. Åtminstone, gör en del undersökningar och se till att du ändrar standardlösenordet eftersom autentiseringsmekanismen är lika bra som icke-existerande i dess out-of-the-box-tillstånd.
Forskning kommer också att betala sig om du ännu inte har köpt ett smartur för ditt barn men funderar på att få en. Gå online och ta reda på hur klockan fungerar och hur du kommunicerar med den innan du beställer. Kolla in användarmanualen och se till att om den första installationen är beroende av ett standardlösenord finns det ett väl dokumenterat sätt att ändra det när allt är igång. Läs recensionerna och se vilken typ av andra människor har haft att hantera. Sist men inte minst, försök att lära dig mer om företaget som erbjuder enheten. Om det inte är möjligt är du bättre att bara gå bort.
