Zdroj: ZDNet
Takto pred rokom sme v našom podcaste č.6 hovorili o MiSafes detských hodinkách, ktoré bolo veľmi ľahké hacknúť. Celý článok od BBC si prečítajte tu. Teraz tu máme ďalšieho výrobcu, pre ktorého je bezpečnosť len slovom. Nízka cena víťazí.
Lacné čínske hodinky od výrobcu SMA s názvom SMA-WATCH-M2 testovali bezpečnostní výskumníci z AV-TEST. Ich vyjadrenie nebolo veľmi lichotivé. Podľa ich tvrdenia tieto hodinky dosiahli vrchol v bezpečnostných prešľapoch a to majú skúsenosti s ich testovaním.
Podľa všetkého sú tieto hodinky na trhu už roky. K hodinkám je mobilná aplikácia pre rodičov. Rodičia si zaregistrujú účet, spárujú svoj mobil s hodinkami a môžu následne sledovať polohu dieťaťa, telefonovať s ním alebo dostať upozornenie o opustení sledovanej oblasti.
Poďme teraz k otrasným a nebezpečným chybám. Rozhranie API na prístup k údajom detí je verejne dostupné pre každého. Na pripojenie k serveru je síce potrebný bezpečnostný token, ale môžete použiť aký chcete, služba to nekontroluje. Je možné cyklovať cez ID parameter a stiahnuť údaje o všetkých zaregistrovaných deťoch.
Výskumníci našli horeuvedeným spôsobom viac ako 5.000 hodiniek detí a viac ako 10.000 účtov rodičov. Deti pochádzali podľa polohy z Holandska, Poľska, Turecka, Nemecka, Španielska, Belgicka, Mexika, Hong Kongu a Číny.
Mobilná aplikácia nebola o nič lepšia. Útočník po inštalácii mohol zmeniť ID parameter v konfiguračnom súbore a videl bez prihlásenia to čo rodičia dieťaťa. Na mape by mohol vidieť polohu a mohol by s ním hovoriť. Dokonca mohol zmeniť heslo a zablokovať prístup rodičom.
Firma SMA samozrejme nereagovala. My vám po roku znovu radíme, nekupujte deťom takéto hodinky, je to nebezpečné a zbytočne ich vystavujete riziku. Väčšina značiek v podobnej cenovej kategórii je rovnako nebezpečná, len sa nikto na ne dôsledne nepozrel.
Obrázok: AliExpress
