Továbbra is botrányos a gyerekkövető órák biztonsága

Újabb biztonsági szakértők mutattak rá, hogy védelem helyett veszélybe sodorhatják a gyerekeket a GPS-szel felszerelt követőórák. A jellemzően olcsó, SIM-kártyával és GPS-szel ellátott eszközöket a szülők vásárolják, hogy távolról is követni tudják fiatal gyerekeik pozícióját, üzenetet küldjenek nekik vagy épp meghallgassák, mit csinál gyerekük - az eszközök nullához közeli biztonsága miatt azonban mindezt illetéktelenek is könnyűszerrel megtehetik.

A brit Pen Test Partners szakértői szerint rengeteg hasonló eszköz többet árthat mint használ, miután az olcsó készülékekhez tartozó, hanyagul megírt alkalmazások és webes felületek kommunikációja illetéktelenek által egyszerűen eltéríthető. A helyzetet súlyosbítja, hogy a kutatók szerint rengeteg eszköz ugyanazt a rossz minőségű kódot használja fel, így megörökölve annak könnyen kiaknázható sebezhetőségeit is - a sérülékenységeket tartalmazó, kifejezetten gyerekeknek szánt, forgalomban lévő órák száma világszerte a 3 milliót is meghaladhatja.

A veszélyre akkor derült fény, mikor a cég egyik szakértője mindössze 10 fontért szerzett egy hasonló eszközt (egész pontosan a MiSafes Kid's Watcher modellt), majd rövid vizsgálódás után ahogy a The Register fogalmaz "sokkoló szintű" biztonsági réseket talált. További vizsgálat azt is kiderítette, hogy a különböző márkák alatt értékesített, hasonló eszközök nagyon hasonló API-kat használnak, ami arra utal, hogy rendszereik ugyanazon gyártó megoldására támaszkodnak, amelyre aztán ki-ki saját brandjét húzza rá.

A legnagyobb probléma a titkosítás teljes hiánya: az app számos érzékeny adatot tartalmaz a gyerekekről, ezt azonban mind egyszerű szövegként továbbítja. Az órához tartozó API továbbá a szakértők szerint mindössze egyetlen ellenőrzést végez el a használat során, ez a felhasználói azonosító összevetése az adott munkamenethez tartozó tokennel - előbbi azonban könnyűszerrel módosítható, így lényegében bárki hozzáférhet az API-n keresztül 5 percenként frissülő helyadatokhoz is. Tovább ront a helyzeten, hogy a kutatók szerint az azonosítókat a rendszer egyszerűen követhető iterációkkal hozza létre, így könnyen kikövetkeztetők az egymást követő ID-k, amivel lényegében az egy-egy eszköztípushoz tartozó összes felhasználó eszköze nyitott könyv a potenciális támadók számára.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A Pen Test Partners szakértői így képesek voltak közel valós időben követni az óra pozícióját, hanghívást kezdeményezni az eszközzel, egyoldalúan belehallgatni az óra által rögzített hangokba, hangüzenetet küldeni a viselőnek, akár az eszközön beállított, jóváhagyott kontaktokat is megkerülve hamis híváskijelzéssel, a viselő így azt hiheti, a bejövő hívás vagy üzenet a szüleitől érkezik. A kutatók emellett egy sor érzékeny információt is be tudtak gyűjteni a viselő gyermekről, beleértve annak fényképét, nevét, születési dátumát, nemét, szülei telefonszámát, de még testsúlyát és magasságát is. A kutatók még egy C#-ban összerakott példaalkalmazást is létrehoztak, amellyel egyszerre volt követhető az összes, az említett modellt viselő gyermek, akiknek pozíciója a térképen visszamenőlegesen is látható volt - de a megoldás VoIP integrációval is kiegészíthető, így a térképen egy-egy kiválasztott órára kattintva az rögtön fel is hívható.

Az ügy kapcsán a Pen Test Partners felvette a kapcsolatot a vizsgált eszköz gyártójával, a Misafes vállalattal, az azonban nem reagált a megkeresésre. Az óra mindenesetre azóta eltűnt az eBay és az Amazon kínálatából is. Nem ez az első botrány a gyerekeknek szánt hasonló okosórák kapcsán, azok katasztrofális biztonsági helyzetét tavaly az Európai Fogyasztók Szervezete (BEUC) is taglalta. Ugyancsak tavaly Németország be is tiltotta a gyerekeket célzó követőórákat - igaz más okra hivatkozva, a készülékeket ugyanis a német Szövetségi Hálózati Ügynökség (Bundesnetzagentur) tiltott lehallgatóeszköznek minősítette.