másik

Így egy évvel ezelőtt a 6. számú podcastunkban a MiSafes gyermekóráról beszéltünk, amelyet nagyon könnyű feltörni. A BBC teljes cikkét itt olvashatja el. Most van egy másik gyártónk, akinek a biztonság csak egy szó. Az alacsony ár nyer.

Az SMA-gyártó SMA-WATCH-M2 nevű olcsó kínai óráit az AV-TEST biztonsági kutatói tesztelték. Nyilatkozatuk nem volt túl hízelgő. Szerintük ezek az órák a biztonsági futófelületek csúcsára jutottak, és van tapasztalatuk a tesztelésükről.

Nyilvánvaló, hogy ez az óra évek óta a piacon van. Van egy mobil alkalmazás a szülők számára az órához. A szülők regisztrálnak egy fiókot, párosítják mobiltelefonjukat egy órával, majd nyomon követhetik a gyermek tartózkodási helyét, telefonálhatnak, vagy értesítést kaphatnak arról, hogy elhagyják a megfigyelt területet.

Térjünk most rá a rettentő és veszélyes hibákra. A gyermekek adatainak elérésére szolgáló API mindenki számára nyilvánosan elérhető. A szerverhez való csatlakozáshoz biztonsági tokenre van szükség, de bármit használhat, amit csak akar, a szolgáltatás nem ellenőrzi. Lehetőség van az ID paraméter áttekintésére és az összes regisztrált gyermek adatainak letöltésére.

A kutatók több mint 5000 gyermekórát és több mint 10 000 szülői fiókot találtak a fent leírtak szerint. A gyerekek helyszín szerint érkeztek Hollandiából, Lengyelországból, Törökországból, Németországból, Spanyolországból, Belgiumból, Mexikóból, Hongkongból és Kínából.

A mobil alkalmazás sem volt jobb. A telepítés után a támadó megváltoztathatta a konfigurációs fájlban szereplő azonosító paraméterét, és bejelentkezés nélkül láthatta, hogy a gyermek szülei mit tettek. Láthatta a helyet a térképen, és beszélhetett vele. Még a jelszavát is megváltoztathatja, és blokkolhatja a szülei hozzáférését.

Természetesen az SMA nem válaszolt. Egy év után újra tanácsoljuk, ne vásároljon ilyen órákat gyerekeknek, veszélyes, és feleslegesen veszélyezteti őket. A legtöbb hasonló árkategóriájú márka ugyanolyan veszélyes, csak senki nem nézte őket következetesen.