för Zero Day
| November 25, 2019 — 18:46 GMT (18:46 GMT)
| Ämne: Säkerhet
Bild via SMA webbplats
En billig $35 barn smartwatch tillverkad i Kina som blev påkommen med att utsätta den personliga uppgifter och information om plats för mer än 5 000 barn och deras föräldrar.
I en rapport som publiceras idag av Internet of Things test av AV-TEST, forskarna sade att de hade oerhörda säkerhetsåtgärder vidtas för att skydda backend och mobila app M2 smartwatch, som görs av Kinesiska företag SMA.
“Den Kinesiska SMA-KLOCKA-M2 toppar säkerheten brister för andra tillverkare av far,” sade Maik Morgenstern, VD och Teknisk Direktör i AV-TEST, vars team har testat barn smartwatches för mer än två år.
M2 smartwatch och sina säkerhetsbrister
SMA W2 barn smartwatch har funnits i flera år. Den var avsedd att arbeta tillsammans med en kamrat mobil app. Föräldrar skulle registrera ett konto på SMA-service, kopplar du ihop sina barns smartwatch till sin telefon, och använder appen för att spåra barnens plats, ringa röstsamtal eller få aviseringar när barnet skulle lämna ett särskilt område.
Konceptet är inte nytt, eftersom det finns massor av liknande produkter på marknaden, varierar i pris från $30 till $200-$300. Men Morgenstern tyder på att SMA skapat en av de mest osäkra produkter på marknaden.
Till att börja med, Morgenstern säger att vem som helst kan fråga smartwatch är backend via en offentligt tillgänglig webb-API. Detta är samma backend där den mobila appen ansluter också att hämta data visar på föräldrarnas telefoner.
Morgenstern säger att det är en autentiseringstoken på plats som är förmodligen det för att förhindra obehörig åtkomst, men angripare kan leverera någon token de vill, som servern aldrig kontrollerar sin giltighet.
En angripare kan ansluta till web API, gå igenom alla användar-Id och samla in uppgifter om alla barn och deras föräldrar.
Morgenstern säger att med den här tekniken, hans team kunde identifiera mer än 5 000 M2 smartwatch bärare och mer än 10 000 moderbolagets räkenskaper.
De flesta av barnen ligger i hela Europa, i länder som Nederländerna, Polen, Turkiet, Tyskland, Spanien och Belgien, men AV-TEST VD säger att de har också funnit aktiva smartwatches i Kina, Hong Kong och Mexiko.
Bild: AV-TEST
De data som exponeras via denna Webb-API ingår barnets nuvarande geografiska läge, typ av enhet och SIM-kort IMEI.
Dessutom är ett andra problemet får tillgång till ännu fler läskiga funktioner. Morgenstern säger att den mobila appen installerad på föräldrarnas telefoner är också mycket osäker.
En angripare kan installera det på sin egen enhet, ändra ett användar-ID i app största konfiguration fil, och har sin smartphone ihop med ett barns smartwatch utan att någonsin behöva ange ett överordnat konto e-post adress eller lösenord.
När angriparna har kopplat ihop sin smartphone till ett barns smartwatch, som de kan använda appens funktioner för att spåra barnet via en karta, eller ens ringa och starta samtal med barn.
Ännu värre, angriparen kan ändra mobila konto lösenord och lås den överordnade ut från appen samtidigt som de ger ett barn fel instruktioner.
Titta på fortfarande på försäljning
Morgenstern säger att de har kontaktat SMA med sina resultat. Han ville inte säga hur SMA reagerat, men bara nämnt att titta på är fortfarande säljs via bolagets hemsida och via andra distributörer [1, 2].
Morgenstern säger att tyska distributör Pearl har tagit M2 av sina hyllor efter sin rapport.
SMA kom inte tillbaka en begäran om en kommentar innan denna artikel publicerades.
AV-TEST VD kontaktade också den Federala Byrån för informationssäkerhet (BSI), landets cyber-security agency. I 2017, BSI förbjudit försäljning av barn smartwatches i Tyskland om klockan kom med en fjärrkontroll lyssna funktionen.
Tidigare i år i februari, EU påminde om två barn smartwatch-modeller på grund av liknande säkerheten brister som tillät angripare att kontakta och/eller spåra barnens platser.
Säkerhet
Chrome, Edge, Safari hacka på elite Kinesisk hacka tävling
Tusentals hackad Disney+ konton finns redan till försäljning på hacking forum
It-säkerhet är på väg in i en rekrytering krisen: Här är hur vi kan åtgärda problemet
Fastställande av data läckor i Jira (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur man styr plats spårning på din iPhone på iOS 13 (TechRepublic)
Relaterade Ämnen:
Sakernas Internet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 25, 2019 — 18:46 GMT (18:46 GMT)
| Ämne: Säkerhet