Ernstige kwetsbaarheden ontdekt in smartwatches voor kinderen

Onderzoekers hebben ernstige kwetsbaarheden ontdekt in smartwatches voor kinderen. Hierdoor is het mogelijk om de horloge-backend over te nemen. Ook is te gps-locatie te spoofen of monitoren, kunnen gesprekken tussen kind en ouders worden onderschept en kan de omgeving van het kind worden afgeluisterd. Daarnaast blijkt dat sommige van de horlogemakers de AVG overtreden, zo laat het rapport ‘STALK: Security Analysis of Smartwatches for Kids’ weten.

Onderzoekers hebben al meerdere keren laten weten dat de smartwatches voor kinderen onveilig zijn. Het meest recente onderzoek is uitgevoerd door onderzoekers van de Münster University of Applied Siences. Die hebben in totaal zes smartwatches van verschillende merken onderzocht. Hierbij ging het om de Polywell S12, StarlainTracker GM11, JBC Kleiner Abenteurer, ANIO4 Touch, Pingonaut Panda2 en de XPLORA GO. De fabrikanten van Polywell, Starlian, JBC en ANIO blijken bijna hetzelfde model te gebruiken, wat afkomstig is van het Chinese elektronicabedrijf 3G Electronics. Het bedrijf biedt de smartwatches aan als whitelabel.

Werking smartwatch

Door gebruik te maken van een smartphone-app kunnen ouders via de simkaart in de smartwatch de locatie van hun kind monitoren. Daarnaast is het mogelijk voor ouders om via de smartwatch met hun kind te communiceren. De smartphone-app die de ouders gebruiken, communiceert met een server, die weer communiceert met de smartwatch van het kind en andersom.

Onderzoek

Het onderzoek werd vooral gericht op de communicatie tussen de smartwatches en de backend van de leverancier (deze vindt meestal plaats via gsm) en de interactie tussen de smartphone-app die de ouders gebruiken en de backend van de leverancier (deze vindt plaats via de internetverbinding van de smartphone). De onderzoekers stellen dat de smartwatches voor kinderen ernstige kwetsbaarheden bevatten die aanvallers kunnen misbruiken.

Zo is het bijvoorbeeld bij drie van de veer backend-platformen mogelijk om de positie van het horloge te spoofen waardoor het kind zich op een hele andere plek kan bevinden dan de ouders denken. Bij twee platformen is het ook mogelijk om voiceberichten te spoofen naar de smartphone-app. Eén backend-platform kon zelfs in zijn geheel worden overgenomen. Op deze manier konden slachtoffers worden getraceerd en gevolgd.

Smartwatches die gebruikmaken van het 3G-platform communiceren zonder encryptie en authenticatie met de server die informatie doorstuurt van en naar de smartphone-app die de ouders gebruiken. Daarnaast bleek de backend-server kwetsbaar voor SQL-injection. Hierdoor kan een aanvaller toegang krijgen tot privégegevens van gebruikers. Bij de backend-server van ANIO moeten gebruikers wel eerst inloggen. Echter wanneer de gebruiker is ingelogd kan deze eenvoudig gegevens van anderen zien door zijn user-ID aan te passen. De ID’s blijken namelijk incrementeel te zijn. Dit maakt het makkelijk om andere gebruikers te vinden.

Een ander aangetroffen probleem is dat 3G en AIO data van gebruikers binnen de EU (zonder dit te vermelden) sturen naar servers buiten de EU. Bedrijven overtreden hierdoor de AVG. Bij Pingonaut en XPLORA GO zijn de onderzoekers iets positiever. Zo worden er in de app van Pingonaut geen grote beveiligingsproblemen aangetroffen en bevat de GO geen kritieke kwetsbaarheid.

De onderzoekers hebben in april de fabrikanten al gewaarschuwd. Hierna zijn verschillende problemen al verholpen. Toch zijn sommige kwetsbaarheden nog steeds aanwezig, laten onderzoekers weten tegenover Wired. Het gaat hierbij om de ANIO en Pingonaut.

Bron: Security.nl