Lỗ hổng bảo mật nghiêm trọng trên các đồng hồ theo dõi GPS của trẻ em

Một lỗ hổng nghiêm trọng làm lộ thông tin nhạy cảm cho 35.000 trẻ em và 20.000 tài khoản cá nhân.

Bất chấp những cảnh báo liên tục về đồng hồ và đồ chơi được kết nối gây nguy hiểm cho quyền riêng tư của trẻ em và có khả năng an toàn về thể chất của chúng, các nhà sản xuất các thiết bị Internet of Things này vẫn tiếp tục cho ra những sản phẩm làm được điều đó. Mối quan tâm mới nhất là một loạt các đồng hồ theo dõi GPS của trẻ em, được phát hiện là phơi bày dữ liệu nhạy cảm liên quan đến 35.000 trẻ em – bao gồm cả vị trí của chúng, trong thời gian thực.

Trớ trêu thay, những điều này được bán trên thị trường là giúp cha mẹ yên tâm hơn khi giữ an toàn cho con cái họ, vì họ cho phép mẹ và cha biết được vị trí của con mình.

Các nhà nghiên cứu từ Pen Test Partners đã xem xét danh mục đồng hồ Gator của TechSixtyFour. Dòng Gator đã được chú ý vào năm 2017 vì có một loạt các lỗ hổng, được Hội đồng Người tiêu dùng Na Uy gọi ra trong nghiên cứu của WatchOut .

Một năm sau, chúng tôi quyết định xem lại đồng hồ Gator để xem an ninh của họ đã được cải thiện như thế nào, ông Vangelis Stykas nói trong một bài đăng hôm thứ Ba . Và đồng hồ có một vấn đề đó là bất cứ ai cũng có thể truy cập toàn bộ cơ sở dữ liệu, bao gồm cả vị trí trẻ em trong thời gian thực, tên, chi tiết của cha mẹ, v.v. Không chỉ đồng hồ Gator – cùng một mặt sau bao gồm nhiều thương hiệu và hàng chục ngàn đồng hồ.

Vấn đề là lỗ hổng leo thang đặc quyền dễ khai thác, nghiêm trọng: Hệ thống không xác thực rằng người dùng có quyền thích hợp để kiểm soát quản trị viên. Kẻ tấn công có quyền truy cập vào thông tin đăng nhập của đồng hồ chỉ cần thay đổi tham số cấp độ người dùng trong phần phụ trợ thành chỉ định quản trị viên, sẽ cung cấp quyền truy cập vào tất cả thông tin tài khoản và tất cả thông tin về đồng hồ.

Cụ thể hơn, Gator hoạt động với bảng đăng nhập web. Sử dụng một proxy web đơn giản, nhóm Pen Test Partners có thể xem xét các yêu cầu được gửi đến trang web – bao gồm một tham số của người dùng. Stykas chỉ đơn giản đoán rằng điều này chỉ định mức độ đặc quyền cho người dùng và quyết định chơi xung quanh nó.

Tôi đã thay đổi giá trị thành hai và không có gì xảy ra, NHƯNG thay đổi nó thành số không và bạn nhận được quản trị viên nền tảng, anh ấy nói.

Ông giải thích, những [Kẻ tấn công] có thể xem bất kỳ người dùng nào của hệ thống và bất kỳ thiết bị nào trên hệ thống, bao gồm cả vị trí của nó. Họ có thể thao túng mọi thứ và thậm chí thay đổi email / mật khẩu của người dùng để khóa chúng khỏi đồng hồ của họ. Chúng tôi thấy rằng chúng tôi cũng có thể liệt kê và sửa đổi tất cả người dùng và tất cả dữ liệu của thiết bị.

Gator đã khắc phục sự cố, nhưng các đồng hồ khác sử dụng cùng phụ trợ vẫn có thể bị ảnh hưởng.

Dịch vụ phụ trợ có lỗ hổng được cung cấp bởi một nhà cung cấp Trung Quốc có tên Caref Watch Co, theo Pen Test Partners.

Sau khi lỗ hổng được phát hiện, công ty đã tiết lộ nó cho TechSixtyFour, nhà phân phối tại Vương quốc Anh của Caref. Pen Test Partners cũng nói rằng nó sẽ ra mắt công chúng một tháng sau – khung thời gian ngắn hơn trung bình đang được xem xét về rủi ro đối với sự an toàn của trẻ em. Sau một lần sửa lỗi không xóa tham số đặc quyền người dùng vi phạm, Caref đã giải quyết vấn đề chỉ năm ngày sau khi được thông báo về lỗ hổng và TechSixtyFour đã triển khai bản vá.

Caref / TechSixtyFour hầu như không phải là bên duy nhất của hệ sinh thái theo dõi để tạo ra các sản phẩm không an toàn cho trẻ em.

Vào tháng 11, đồng hồ đeo tay GPS Misafes Kids Kids Watcher đã được phát hiện có lỗ hổng chuyển thành bộ công cụ lý tưởng của kẻ rình rập hoặc ấu dâm.

Các thị trường đồng hồ GPS đang phát triển đáng kể. Không chỉ là đồng hồ của trẻ em kết hợp các dịch vụ, mà một số đồng hồ đang chạy đang sử dụng công nghệ này, ông Sty Stykas nói. Ông nói thêm, trên phạm vi rộng hơn, thị trường đồng hồ GPS cần đảm bảo rằng các sản phẩm của họ được kiểm tra đầy đủ. Vấn đề là mức giá của các thiết bị này thấp đến mức có rất ít doanh thu có sẵn để trang trải chi phí bảo mật. Lời khuyên của chúng tôi là tránh những chiếc đồng hồ có loại chức năng này giống như bệnh dịch hạch. Họ không giảm rủi ro của bạn, họ tích cực tăng nó.Đồng hồ cung cấp các chức năng cho cha mẹ như gọi hai chiều thông qua SIM và kết nối di động, cũng như một ứng dụng đi kèm để cha mẹ theo dõi vị trí của con mình. Các nhà nghiên cứu tại Pen Test Partners đã tìm thấy những lỗ hổng có thể cho phép tin tặc từ xa lấy được tọa độ GPS trong thời gian thực của đồng hồ trẻ em. Những kẻ tấn công cũng có thể gọi trẻ em trên đồng hồ của chúng, nghe lén các cuộc hội thoại của chúng và chặn thông tin cá nhân về chúng, chẳng hạn như tên, tuổi và giới tính.

bình luận

Leave a Comment