image

Goedkope SMA-smartwatch lekt gegevens duizenden kinderen

maandag 25 november 2019, 14:15 door Redactie, 8 reacties

Een goedkope smartwatch van fabrikant Shenzhen Smart Care Technology (SMA) lekt de gegevens van duizenden kinderen, waaronder in Nederland, en maakt het mogelijk om ze af te luisteren en hun locatie te bepalen, zo ontdekten onderzoekers van het Duitse testlab AV-Test.

De SMA-WATCH-M2 is bij online webshops voor zo'n dertig euro verkrijgbaar. Het horloge fungeert via een simkaart als gps-tracker en maakt het mogelijk voor ouders om hun kind te monitoren. De beveiliging van het horloge laat echter te wensen over. De onderzoekers wisten via een onbeveiligde interface toegang tot de server van SMA te krijgen en zo locatiegegevens, telefoonnummers, foto's, gesprekken, namen, adresgegevens en leeftijden van vijfduizend kinderen te benaderen.

De fabrikant maakt gebruik van een programmeerinterface (API) om de gps-horloges toegang tot informatie op de server te geven. Om met de API te communiceren en ongeautoriseerde toegang te voorkomen wordt er een authenticatietoken gegenereerd. De server blijkt dit token niet te controleren, waardoor het mogelijk is om van willekeurige gebruikers gegevens op te vragen.

"Via eenvoudige bruteforce-aanvallen op de onbeveiligde web-API zijn de gegevens van alle geregistreerde gebruikers op te vragen", aldus de onderzoekers. Die wisten op deze manier vijfduizend kinderen in kaart te brengen, waaronder in Nederland. Daarnaast is het mogelijk om toegang tot de accounts te krijgen waarmee ouders hun kinderen monitoren. Zo kan een aanvaller met kinderen bellen, hun locatie bepalen en bijvoorbeeld geo-fencing uitschakelen.

AV-Test waarschuwde SMA maar de problemen zijn nog altijd niet verholpen. "En net als met de meeste Chinese IoT-producten die de Europese markt overspoelen is er voor het horloge geen privacybeleid dat aan de AVG voldoet, alleen een Chinese versie", zo stellen de onderzoekers.

Reacties (8)
25-11-2019, 14:20 door [Account Verwijderd]
Je zou denken dat die "in dure leasebakken rijdende carrière ouders" wel iets duurders konden betalen om hun kroost te volgen. Je zou natuurlijk ook (tijdelijk) minder kunnen gaan werken en niet alleen voeder maar ook opvoeder worden. Heb je zo'n apparaatje helemaal niet nodig.
25-11-2019, 14:55 door Anoniem
Daar gaan we weer, speelgoed met onveilige apps en afluistermogelijkheden. Chinese IoT is niet Ok (hé dat rijmt)
Dat deze bedrijven nog steeds een podium krijgen....
25-11-2019, 14:57 door Anoniem
Je zou denken dat die "in dure leasebakken rijdende carrière ouders" wel iets duurders konden betalen om hun kroost te volgen

Alsof die bewust zijn van de kwetsbaarheden....
25-11-2019, 15:03 door Anoniem
Door Kili Manjaro: Je zou denken dat die "in dure leasebakken rijdende carrière ouders" wel iets duurders konden betalen om hun kroost te volgen. Je zou natuurlijk ook (tijdelijk) minder kunnen gaan werken en niet alleen voeder maar ook opvoeder worden. Heb je zo'n apparaatje helemaal niet nodig.

Interessant - kun jij 'iets duurders' aanraden dat deze problemen niet heeft ?
Mijn ervaring met IT producten is dat prijs niet zoveel zegt over 'onzichtbare' kwaliteiten zoals security/privacy.

Vertel ook eens over je gouden jeugd, toen mammie meeging naar elk vriendje waar je ging spelen. En meeliep naar elke snoepwinkel. Was leuk he ?
En hoe jij dat nu doet in je relatie (ha !)

Ik kan me de wens van ouders - zelfs als die thuis zijn en ouderwets opvoeden voor een 'waar zijn ze nu' antwoord zonder permanent binnen gezichtsafstand te zijn best voorstellen. Niet alleen uit gemak ook om de kinderen enige zelfstandigheid te leren.
25-11-2019, 15:52 door Anoniem
Er zijn wel andere manieren om je kinderen te "verwaarlozen".
25-11-2019, 16:42 door Anoniem
Door Kili Manjaro: Je zou denken dat die "in dure leasebakken rijdende carrière ouders" wel iets duurders konden betalen om hun kroost te volgen. Je zou natuurlijk ook (tijdelijk) minder kunnen gaan werken en niet alleen voeder maar ook opvoeder worden. Heb je zo'n apparaatje helemaal niet nodig.

Echt niets, maar dan ook niets wijst er op in dit verhaal dat het gaat om carrière ouders met dikke leasebakken....
Maar meneer Kili Manjaro heeft direct zijn oordeel klaar.

Wat als ik als alleenstaande ouder mijn kinderen een beetje in de gaten wil houden/contact wil houden tussen de tijd dat ze uit school komen en dat ik thuis ben. in tegenstelling tot die "Carrière ouders met dikke leasebakken" heb ik geen geld voor die dure opvang.

geld voor een dure Apple Watch heb ik niet, een goedkope telefoon kunnen ze makkelijk kwijt raken.
Dit lijkt in eerste instantie dus een perfecte oplossing voor een niet zo'n ideale situatie.
25-11-2019, 17:39 door Anoniem
je krijgt toch echt waar je voor betaald hoor.. en mensen maar miepen over hoe duur apple producten zijn.. dit soort dingen gebeuren ten minste niet, en ze zijn een van de dan wel de enige die strict zijn als het gaat om privacy.
26-11-2019, 10:56 door Anoniem
Door Anoniem: je krijgt toch echt waar je voor betaald hoor.. en mensen maar miepen over hoe duur apple producten zijn.. dit soort dingen gebeuren ten minste niet, en ze zijn een van de dan wel de enige die strict zijn als het gaat om privacy.
Nee, dat soort dure dingen worden gewoon gestolen, al dan niet met geweld!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.