image

Gps-horloges voor kinderen kwetsbaar voor spoofing

maandag 27 november 2017, 11:30 door Redactie, 3 reacties

Verschillende gps-horloges voor kinderen zijn kwetsbaar voor spoofing en kunnen daarom niet worden aangeraden, zo stelt het Duitse testlab AV-Test. Ook blijken de apparaten allerlei andere kwetsbaarheden te bevatten. In totaal werden zes kinderhorloges door AV-Test onder handen genomen.

Het gaat om het gps-horloge van BELIO, de Two WLAN Touch van ANIO, de CARL Kids van CAT, het gps-horloge van MyKi, de smartwatch van hellOO en de Kidswatch van Pingonaut. De horloges beschikken over een simkaart en staan in verbinding met een app op de smartphone van de ouders. Die kunnen zo precies zien waar hun kinderen zich bevinden en kunnen bijvoorbeeld worden gewaarschuwd als het kind een opgegeven gebied verlaat. Het horloge van ANIO laat ouders ook met de omgeving van het kind meeluisteren, hoewel dit inmiddels in Duitsland verboden is. De fabrikant heeft de luisterfunctie dan ook voor het Duitse telefoonnetwerk uitgeschakeld.

Het eerste probleem dat AV-Test aantrof is dat de horloges kwetsbaar zijn voor spoofing. Zo kan er een telefoonnummer worden opgegeven dat van de ouders is, terwijl het bericht van een ander nummer afkomstig is. Hoewel spoofing ook bij andere smartphones mogelijk is, is het in dit geval voldoende reden voor AV-Test om alle zes de gps-horloges af te raden. Het onderzoekslab adviseert ouders dan ook om het telefoonnummer van het horloge geheim te houden, aangezien dit voor het uitvoeren van een spoofingaanval nodig is. Een bijkomend probleem is dat de simkaart in de horloges geen pincode mag hebben. Een aanvaller met fysieke toegang kan zo eenvoudig het nummer achterhalen en vervolgens gebruiken om op afstand controle over het horloge krijgen en te kijken waar het kind zich bevindt, aldus de onderzoekers.

Verder blijkt dat drie apps bij het uitwisselen van data tussen de app, het horloge en het internet geen versleuteling toepassen. Een aanvaller kan zo bijvoorbeeld bepaalde informatie achterhalen, zoals de huidige locatie van het kind of het gebied dat door de ouders als "veilige zone" is ingesteld. Ook registratie- en inloggegevens blijken onversleuteld te worden verstuurd. Verder laat ook de veiligheid van vier van de zes apps te wensen over. Zo worden inloggegevens onbeveiligd in een logbestand op de sd-kaart van de telefoon opgeslagen.

Wat betreft databescherming en privacybeleid schieten de aanbieders ook te kort. Alleen Pingonaut en ANIO garanderen de databescherming van hun klanten op een acceptabele manier, zo stelt AV-Test. Het testlab noemt de resultaten van de test dan ook allesbehalve geruststellend. Alleen het horloge van Pingonaut scoort de maximale drie sterren, terwijl de horloges van CAT en het Nederlandse hellOO helemaal geen punten weten te scoren. Eerder stelde ook de Noorse Consumentenbond Forbrukerradet dat gps-horloges voor kinderen ernstige kwetsbaarheden bevatten.

Image

Reacties (3)
27-11-2017, 12:07 door Anoniem
Meer, meer en nog meer IoT. Dit wordt steeds leuker :D

TheYOSH
27-11-2017, 21:35 door Anoniem
Dit soort horloges gaan voor ongeveer 50 euro over de toonbank. Dan moet je ook verwachten dat de kwaliteit minder zal zijn dan een Apple Watch 2+ van over 250 euro.

Helaas heeft de (Europese) overheid nog steeds geen eisen gesteld aan IoT devices, minimale beveiligingsstandaarden en update beleid voor een redelijke levensduur (tot 4 jaar?, niet de fabrikantsgarantie) en boetes bij problemen.

Immers hoe vaak moet een bedrijf betalen als ze X miljoen gegevens kwijt zijn?
28-11-2017, 07:22 door karma4
Door Anoniem: Dit soort horloges gaan voor ongeveer 50 euro over de toonbank. Dan moet je ook verwachten dat de kwaliteit minder zal zijn dan een Apple Watch 2+ van over 250 euro.
....
Met een kostprijs van 25 wat voor 250 verkocht wordt heb je nu net een basis probleem te pakken. Apple is nu niet bepaald het voorbeeld van garantie en consumentenbelabg integendeel.
In een aantal gevallen moest het met bestaande wetgeving alsnog afgedwongen worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.