voor Zero Day
| 25 November 2019 — 18:46 GMT (18:46 GMT)
| Onderwerp: Security
Afbeelding via SMA-website
Een goedkope $35 kinderen’ smartwatch gemaakt in China werd gevangen blootstellen van de persoonlijke gegevens en locatie-informatie voor de meer dan 5.000 kinderen en hun ouders.
In een vandaag gepubliceerd rapport van het Internet van de Dingen testen verdeling van AV-TEST, onderzoekers zeiden dat ze gevonden flagrante veiligheidsmaatregelen ter bescherming van de backend en de mobiele app van de M2 smartwatch, gemaakt door een Chinees bedrijf SMA.
“De Chinese SMA-WATCH-M2 toppen van de veiligheid storingen van andere fabrikanten ver,” zegt Maik Morgenstern, de voorzitter en de Technisch Directeur van AV-TEST, waarvan het team heeft getest kinderen smartwatches voor meer dan twee jaar.
De M2 smartwatch en de plekken in de beveiliging.
De SMA W2 kinderen smartwatch bestaat al jaren. Het is ontworpen om te werken met een collega mobiele app. Ouders zouden een account registreren op de SMA service, paar van hun kind smartwatch op hun telefoon, en gebruik je de app voor het bijhouden van de kid ‘ s locatie, bellen, of u een melding krijgt wanneer het kind zou een aangewezen gebied.
Het concept is niet nieuw, want er zijn tal van soortgelijke producten op de markt, variërend in prijs van $30 tot $200-$300. Echter, Morgenstern suggereert dat SMA gemaakt van één van de meest onveilige producten op de markt.
Voor starters, Morgenstern zegt iedereen kan de query op de smartwatch de backend via een publiek toegankelijke web-API. Dit is dezelfde backend waar de mobiele app is ook verbonden aan het ophalen van de gegevens toont aan ouders telefoons.
Morgenstern, zegt er een authenticatie token in plaats dat zogenaamd is er om ongeautoriseerde toegang te voorkomen, maar de aanvaller kan leveren token ze willen, als de server nooit controleert de geldigheid ervan.
Een aanvaller kan verbinding maken met dit web API, doorlopen alle gebruikers-Id ‘ s en het verzamelen van gegevens over alle kinderen en hun ouders.
Morgenstern, zegt dat het gebruik van deze techniek, zijn team was in staat om het identificeren van meer dan 5.000 M2 smartwatch dragers en meer dan 10.000 bovenliggende rekeningen.
De meeste van de kinderen werden overal in Europa, in landen zoals Nederland, oostenrijk, Polen, Turkije, Duitsland, Spanje en België, maar de AV-TEST-CEO zegt ze heb ook gevonden dat actief smartwatches in China, Hong Kong en Mexico.
Afbeelding: AV-TEST
De gegevens die via deze Web-API opgenomen van het kind met de huidige geografische locatie, type apparaat en SIM-kaart IMEI.
Bovendien, een tweede kwetsbaarheid toegang tot nog meer griezelig functies. Morgenstern zegt dat de mobiele app geïnstalleerd op ouders telefoons is ook erg onzeker.
Een aanvaller kan installeren op hun eigen apparaat, wijzigt u een gebruikers-ID in van de app van de hoofd configuratie bestand, en hebben hun smartphone gecombineerd met een kind smartwatch, zonder ooit te hebben om een ouder-account e-mailadres of wachtwoord.
Zodra de aanvallers hebt afgestemd op hun smartphone om een kind smartwatch kunnen ze gebruik maken van functionaliteiten van de app voor het bijhouden van het kind via een kaart, of zelfs het plaatsen van oproepen en begin met chatten met de kinderen.
Erger nog, de aanvaller kan het wijzigen van de mobiele wachtwoord en vergrendelen van de ouder-out van de app, terwijl ze geven een kind de verkeerde instructies.
Kijk nog steeds te koop
Morgenstern, zegt zij hebben contact opgenomen met SMA met hun bevindingen. Hij zei niet hoe SMA reageerden, maar alleen vermeld dat het horloge wordt nog steeds verkocht via de website van de vennootschap en via andere distributeurs [1, 2].
Morgenstern zegt dat de duitse distributeur Pearl heeft genomen van de M2 van de planken na hun rapport.
SMA niet terug van een request for comment voor dit artikel de publicatie.
De AV-TEST-CEO nam ook contact op met het Federaal Bureau voor informatiebeveiliging (BSI), het land van de cyber-security agency. In 2017, de BSI een verbod op de verkoop van kinderen smartwatches in Duitsland als het horloge geleverd met een afstandsbediening luisteren functie.
Eerder dit jaar in februari, de EU opgeroepen twee kinderen’ smartwatch modellen vanwege soortgelijke beveiligingsfouten die toegestaan aanvallers contact op te nemen en/of volgen kinderen de locaties.
Veiligheid
Chrome Rand, Safari gehackt elite Chinese hack wedstrijd
Duizenden gehackte Disney+ accounts zijn al te koop op het hacken van forums
Cybersecurity is op weg naar een recruitment crisis: Hier is hoe we het probleem oplossen
De vaststelling van het lekken van gegevens in Jira (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe om te bepalen locatie bijhouden op je iPhone in iOS 13 (TechRepublic)
Verwante Onderwerpen:
Het Internet van Dingen
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 25 November 2019 — 18:46 GMT (18:46 GMT)
| Onderwerp: Security