Goedkope SMA-smartwatch lekt gegevens duizenden kinderen
Een goedkope smartwatch van fabrikant Shenzhen Smart Care Technology (SMA) lekt de gegevens van duizenden kinderen, waaronder in Nederland, en maakt het mogelijk om ze af te luisteren en hun locatie te bepalen, zo ontdekten onderzoekers van het Duitse testlab AV-Test.
De SMA-WATCH-M2 is bij online webshops voor zo'n dertig euro verkrijgbaar. Het horloge fungeert via een simkaart als gps-tracker en maakt het mogelijk voor ouders om hun kind te monitoren. De beveiliging van het horloge laat echter te wensen over. De onderzoekers wisten via een onbeveiligde interface toegang tot de server van SMA te krijgen en zo locatiegegevens, telefoonnummers, foto's, gesprekken, namen, adresgegevens en leeftijden van vijfduizend kinderen te benaderen.
De fabrikant maakt gebruik van een programmeerinterface (API) om de gps-horloges toegang tot informatie op de server te geven. Om met de API te communiceren en ongeautoriseerde toegang te voorkomen wordt er een authenticatietoken gegenereerd. De server blijkt dit token niet te controleren, waardoor het mogelijk is om van willekeurige gebruikers gegevens op te vragen.
"Via eenvoudige bruteforce-aanvallen op de onbeveiligde web-API zijn de gegevens van alle geregistreerde gebruikers op te vragen", aldus de onderzoekers. Die wisten op deze manier vijfduizend kinderen in kaart te brengen, waaronder in Nederland. Daarnaast is het mogelijk om toegang tot de accounts te krijgen waarmee ouders hun kinderen monitoren. Zo kan een aanvaller met kinderen bellen, hun locatie bepalen en bijvoorbeeld geo-fencing uitschakelen.
AV-Test waarschuwde SMA maar de problemen zijn nog altijd niet verholpen. "En net als met de meeste Chinese IoT-producten die de Europese markt overspoelen is er voor het horloge geen privacybeleid dat aan de AVG voldoet, alleen een Chinese versie", zo stellen de onderzoekers.
Dat deze bedrijven nog steeds een podium krijgen....
Alsof die bewust zijn van de kwetsbaarheden....
Interessant - kun jij 'iets duurders' aanraden dat deze problemen niet heeft ?
Mijn ervaring met IT producten is dat prijs niet zoveel zegt over 'onzichtbare' kwaliteiten zoals security/privacy.
Vertel ook eens over je gouden jeugd, toen mammie meeging naar elk vriendje waar je ging spelen. En meeliep naar elke snoepwinkel. Was leuk he ?
En hoe jij dat nu doet in je relatie (ha !)
Ik kan me de wens van ouders - zelfs als die thuis zijn en ouderwets opvoeden voor een 'waar zijn ze nu' antwoord zonder permanent binnen gezichtsafstand te zijn best voorstellen. Niet alleen uit gemak ook om de kinderen enige zelfstandigheid te leren.
Echt niets, maar dan ook niets wijst er op in dit verhaal dat het gaat om carrière ouders met dikke leasebakken....
Maar meneer Kili Manjaro heeft direct zijn oordeel klaar.
Wat als ik als alleenstaande ouder mijn kinderen een beetje in de gaten wil houden/contact wil houden tussen de tijd dat ze uit school komen en dat ik thuis ben. in tegenstelling tot die "Carrière ouders met dikke leasebakken" heb ik geen geld voor die dure opvang.
geld voor een dure Apple Watch heb ik niet, een goedkope telefoon kunnen ze makkelijk kwijt raken.
Dit lijkt in eerste instantie dus een perfecte oplossing voor een niet zo'n ideale situatie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
