Een goedkope smartwatch van fabrikant Shenzhen Smart Care Technology (SMA) lekt de gegevens van duizenden kinderen, waaronder in Nederland, en maakt het mogelijk om ze af te luisteren en hun locatie te bepalen, zo ontdekten onderzoekers van het Duitse testlab AV-Test.
De SMA-WATCH-M2 is bij online webshops voor zo'n dertig euro verkrijgbaar. Het horloge fungeert via een simkaart als gps-tracker en maakt het mogelijk voor ouders om hun kind te monitoren. De beveiliging van het horloge laat echter te wensen over. De onderzoekers wisten via een onbeveiligde interface toegang tot de server van SMA te krijgen en zo locatiegegevens, telefoonnummers, foto's, gesprekken, namen, adresgegevens en leeftijden van vijfduizend kinderen te benaderen.
De fabrikant maakt gebruik van een programmeerinterface (API) om de gps-horloges toegang tot informatie op de server te geven. Om met de API te communiceren en ongeautoriseerde toegang te voorkomen wordt er een authenticatietoken gegenereerd. De server blijkt dit token niet te controleren, waardoor het mogelijk is om van willekeurige gebruikers gegevens op te vragen.
"Via eenvoudige bruteforce-aanvallen op de onbeveiligde web-API zijn de gegevens van alle geregistreerde gebruikers op te vragen", aldus de onderzoekers. Die wisten op deze manier vijfduizend kinderen in kaart te brengen, waaronder in Nederland. Daarnaast is het mogelijk om toegang tot de accounts te krijgen waarmee ouders hun kinderen monitoren. Zo kan een aanvaller met kinderen bellen, hun locatie bepalen en bijvoorbeeld geo-fencing uitschakelen.
AV-Test waarschuwde SMA maar de problemen zijn nog altijd niet verholpen. "En net als met de meeste Chinese IoT-producten die de Europese markt overspoelen is er voor het horloge geen privacybeleid dat aan de AVG voldoet, alleen een Chinese versie", zo stellen de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.