image

Backdoor in kinderhorloge maakte remote surveillance mogelijk

dinsdag 13 oktober 2020, 09:42 door Redactie, 5 reacties

Onderzoekers hebben in een horloge voor kinderen een backdoor ontdekt waardoor remote surveillance mogelijk was, zoals het nemen van foto's op afstand, het achterhalen van de locatie en het afluisteren van de omgeving. De fabrikant stelt dat er onbedoeld testcode is achtergebleven en heeft een firmware-update uitgebracht om het probleem te verhelpen.

Het gaat om een horloge gefabriceerd door het Chinese bedrijf Qihoo 360 dat door het Noorse Xplora onder de eigen naam op de Europese markt wordt aangeboden. Het kinderhorloge bevat een simkaart en bijbehorend telefoonnummer, alsmede een gps waarmee ouders de locatie van hun kind kunnen zien. Tevens is een microfoon aanwezig waarmee het kind en de ouders kunnen communiceren en een camera voor het maken van foto's of videobellen. Via een app kunnen ouders met de drager van het horloge communiceren.

Onderzoekers van securitybedrijf Mnemonic, die eerder voor de Noorse consumentenautoriteit onderzoek naar smartwatches voor kinderen deden, ontdekten de backdoor. Ze stellen dat de backdoor zelf geen kwetsbaarheid is, maar opzettelijk is aangebracht. Dat blijkt onder andere uit functienamen zoals remote snapshot, wiretap en send location. De backdoor was door middel van het versturen van sms-codes te activeren. Hiervoor moest een eventuele aanvaller wel de geheime encryptiesleutel van het horloge kennen, die tijdens de productie wordt aangemaakt.

De onderzoekers stellen dat zowel Xplora als Qihoo 360 over de encryptiesleutel en het telefoonnummer beschikken, waardoor ze de backdoor zouden kunnen activeren. Daarnaast zou een aanvaller met fysieke toegang tot het horloge de sleutel kunnen achterhalen. "De mogelijkheid om via sms af te luisteren of in het geheim foto's te nemen is geen kwetsbaarheid in de software, een misconfiguratie of een misser in het gebruik van verouderde protocollen. Deze functionaliteit is met opzet ontwikkeld", zo luidt de conclusie van de onderzoekers.

In een reactie aan Ars Technica laat Xplora weten dat de functionaliteit voor prototypes van het horloge was ontwikkeld. "Vanwege privacyzorgen werd de functionaliteit voor alle commerciële modellen verwijderd. De onderzoekers vonden een deel van de code die niet helemaal uit de firmware was verwijderd", aldus een verklaring van het bedrijf. Na te zijn ingelicht door de onderzoekers heeft Xplora een patch ontwikkeld die de backdoor verwijdert en vorige week onder gebruikers is uitgerold.

Reacties (5)
13-10-2020, 11:25 door Anoniem
Natuurlijk weer China. TickTock, Huwaei, geen wonder dat Trump het wilt verbieden en dan maar zogenaamd zeggen dat test-software achter is gebleven en meteen met een update komen. Damage control.
De schade is al gedaan bye bye Qihoo. Je kan het nog alleen maar van de mensen hebben die het niks interesseert omdat ze toch niks te verbergen hebben.
13-10-2020, 11:52 door Anoniem
n een reactie aan Ars Technica laat Xplora weten dat de functionaliteit voor prototypes van het horloge was ontwikkeld. "Vanwege privacyzorgen werd de functionaliteit voor alle commerciële modellen verwijderd.

Dus geen privacy by design, anders was deze code nooit ontwikkeld voor het prototype.
Je vraagt je af wat er door de hoofden van de ontwerpers ging.
Of is dit de gangbare standaard voor een kinderhorloge in China?


Het kinderhorloge bevat een simkaart en bijbehorend telefoonnummer, alsmede een gps waarmee ouders de locatie van hun kind kunnen zien. Tevens is een microfoon aanwezig waarmee het kind en de ouders kunnen communiceren en een camera voor het maken van foto's of videobellen. Via een app kunnen ouders met de drager van het horloge communiceren.

Wat zou ik dat horloge als kind snel kapot gemaakt of verloren hebben.
Continue door je ouders op de lip gezeten worden, Ik moet er niet aan denken.
Wat een bemoeizucht.
13-10-2020, 13:20 door Anoniem
Vandaag, 11:52 door Anoniem "Wat een bemoeizucht."

Je kan het nauwelijks geloven, maar mijn hele familie ziet zo'n track & trace app. juist als een soort van spelletje.
Iedereen heeft mekaar op zo'n app. staan om regelmatig even te gluren waar wie en wie uithangt.
Zomaar, het heeft geen enkel doel dan nieuwsgierigheid.
Dat ik daar niet aan mee wil doen vinden ze maar wat kinderachtig van mij.
Er lopen meer gekken rond dan jij ooit zal begrijpen.
13-10-2020, 16:24 door Anoniem
Ja, de have wereld is op pokemonenjacht en ze genieten er ook nog van.

#sockpuppet
14-10-2020, 13:21 door Anoniem
Door Anoniem:
n een reactie aan Ars Technica laat Xplora weten dat de functionaliteit voor prototypes van het horloge was ontwikkeld. "Vanwege privacyzorgen werd de functionaliteit voor alle commerciële modellen verwijderd.

Dus geen privacy by design, anders was deze code nooit ontwikkeld voor het prototype.
Je vraagt je af wat er door de hoofden van de ontwerpers ging.
Of is dit de gangbare standaard voor een kinderhorloge in China?

Het is geen 'kinderhorloge' in de zin van kind kan kijken hoe laat het is.
De basisfunctie is al het volgen van waar het kind uithangt en bellen/meekijken door de ouders.

Privacy bij design voor een ding dat _ontworpen is_ om de drager te kunnen tracken/volgen ?

Het is alleen maar een extended feature op die basis functies - eigenlijk helemaal niet vergezocht gegeven waar het ding voor ontworpen is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.