Ερευνητές ασφαλείας ανέλυσαν την ασφάλεια τεσσάρων δημοφιλών smartwatches για παιδιά και βρήκαν προεγκατεστημένα downloaders, αδύναμους κωδικούς πρόσβασης και μεταφορές μη κρυπτογραφημένων δεδομένων.
Η ανάλυση των ερευνητών δείχνει ότι οι περισσότερες από αυτές τις συσκευές συλλέγουν αυθαίρετα και μεταφέρουν ευαίσθητα δεδομένα σε απομακρυσμένους διακομιστές, χωρίς να το γνωρίζει ο χρήστης.
Δείτε επίσης: iPhone & Apple Watches: Θα μπορούν να εντοπίσουν ένα τροχαίο ατύχημα
Αυτό το εύρημα είναι ανησυχητικό για την ασφάλεια των νεαρών χρηστών, δεδομένου ότι τα smartwatches για παιδιά γίνονται όλο και πιο δημοφιλή, με τους γονείς να τα αγοράζουν για να παρακολουθούν την τοποθεσία και τις δραστηριότητες των παιδιών τους.
Η έρευνα διεξήχθη από την ερευνητική ομάδα της Dr. Web, η οποία εξέτασε τα εξής smartwatches για παιδιά: Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite και Smart Baby Watch Q19.
Και τα τέσσερα βασίζονται στο Android και είναι πολύ δημοφιλή στη Ρωσία.
Κατά την ανάλυσή τους, οι ερευνητές της Dr.Web διαπίστωσαν ότι το έξυπνο ρολόι Elari Kidphone 4G διαθέτει τρία κρυφά modules που μεταδίδουν δεδομένα σε μια κεντρική τοποθεσία και λαμβάνουν εντολές από απόσταση.
Από προεπιλογή, αυτή η επικοινωνία πραγματοποιείται κάθε οκτώ ώρες, αλλά μπορεί εύκολα να προσαρμοστεί σε διαφορετικό διάστημα.
Δείτε επίσης: Apple Watch έσωσε τραυματισμένο οδηγό καλώντας βοήθεια!
Οι ερευνητές διαπίστωσαν ότι οι πληροφορίες που μεταδίδονται, περιλαμβάνουν πληροφορίες κάρτας SIM, πληροφορίες συσκευής, δεδομένα γεωγραφικής τοποθεσίας, επαφές, στοιχεία για SMS, ιστορικό τηλεφωνικών κλήσεων και λίστα εγκατεστημένων εφαρμογών.
Η Dr. Web δηλώνει ανήσυχη για το συγκεκριμένο έξυπνο ρολόι καθώς πιστεύει ότι αυτά τα κρυφά modules στο Elari Kidphone 4G μπορούν να χρησιμοποιηθούν για την εγκατάσταση κακόβουλων εφαρμογών, τη λήψη, την εγκατάσταση, την εκτέλεση ή την απεγκατάσταση εφαρμογών, καθώς και την προβολή διαφημίσεων. Το πιο ανησυχητικό είναι ότι όλα αυτά μπορούν να συμβούν, χωρίς τη γνώση του χρήστη.
“Έτσι, το Android.DownLoader.3894 που είναι κρυμμένο σε αυτό το ρολόι μπορεί να χρησιμοποιηθεί για κατασκοπεία στον κυβερνοχώρο, για προβολή διαφημίσεων και εγκατάσταση ανεπιθύμητων ή ακόμα και κακόβουλων εφαρμογών
“, αναφέρει στην έρευνά της η Dr. Web.Η πιο φθηνή επιλογή από τα παραπάνω smartwatches, είναι το Wokka Lokka Q50, το οποίο κοστίζει περίπου $15 και είναι αρκετά δημοφιλές.
Ωστόσο, οι ερευνητές ανακάλυψαν ότι το ρολόι έχει έναν αδύναμο προεπιλεγμένο κωδικό πρόσβασης («123456») και όλα τα δεδομένα που μεταδίδονται μεταξύ αυτού και του διακομιστή που εδρεύει στη Ρωσία, είναι μη κρυπτογραφημένα.
Αυτό διευκολύνει την εκτέλεση “man-in-the-middle” επιθέσεων και επιτρέπει στους παράγοντες απειλών να μαθαίνουν δεδομένα τοποθεσίας, να ακούν τι γίνεται στο περιβάλλον του χρήστη ή ακόμα και να αλλάξουν το C&C server address.
Χρήσιμη πληροφορία: Man-in-the-middle επιθέσεις: Τι είναι και πώς να προστατευτείτε;
Στην περίπτωση του Elari FixiTime Lite ($50) και του Smart Baby Watch Q19 ($25), τα πράγματα είναι λίγο καλύτερα αλλά παραμένουν ανησυχητικά.
Το Elari FixiTime Lite μεταδίδει ευαίσθητα δεδομένα όπως συντεταγμένες GPS, φωνητικά μηνύματα και φωτογραφίες χρησιμοποιώντας το πρωτόκολλο μη κρυπτογραφημένης μεταφοράς δεδομένων (HTTP). Αυτό το πρωτόκολλο επιτρέπει επιθέσεις man-in-the-middle (MiTM), που επιτρέπουν στους επιτιθέμενους να παρακολουθούν κάποια συγκεκριμένα δεδομένα.
Όσο για το Smart Baby Watch Q19, χρησιμοποιεί έναν αδύναμο προεπιλεγμένο κωδικό πρόσβασης (‘123456’), αλλά η Dr. Web λέει ότι οι εντολές που μπορούν να χρησιμοποιηθούν μειώνονται σημαντικά, και έτσι δεν είναι ιδιαίτερα επικίνδυνο.
Οι γονείς θα πρέπει να είναι προσεκτικοί όταν αγοράζουν φθηνά smartwatches για τα παιδιά τους, και θα πρέπει να σκέφτονται κυρίως την ασφάλεια και το απόρρητο. Παλιότερη έρευνα είχε ανακαλύψει ζητήματα ασφαλείας και σε άλλα smartwatches.
Πηγή: Bleeping Computer