Imagen a través del sitio world wide web de SMA
Un reloj inteligente para niños de $ 35 hecho en China fue descubierto exponiendo los detalles personales y la información de ubicación de más de 5,000 niños y sus padres.
En un informe publicado hoy Por la división de pruebas de World-wide-web de las cosas de AV-Exam, los investigadores dijeron que encontraron medidas de seguridad atroces implementadas para proteger el backend y la aplicación móvil del Reloj inteligente M2, fabricado por la empresa china SMA.
«El SMA-Observe-M2 chino supera con creces las fallas de seguridad de otros fabricantes», dijo Maik Morgenstern, CEO y Director Técnico de AV-Take a look at, cuyo equipo ha estado probando relojes inteligentes para niños. por más de dos años.
El reloj inteligente M2 y sus fallas de seguridad
El reloj inteligente para niños SMA W2 ha existido durante años. Fue diseñado para funcionar con una aplicación móvil complementaria. Los padres registrarían una cuenta en el servicio SMA, emparejarían el reloj inteligente de sus hijos con su teléfono y usarían la aplicación para rastrear la ubicación del niño, realizar llamadas de voz u obtener notificaciones cuando el niño saliera de un área designada.
El concepto no es nuevo, ya que hay muchos productos similares en el mercado, con precios que varían de $ 30 a $ 200- $ 300. Sin embargo, Morgenstern sugiere que SMA creó uno de los productos más inseguros del mercado.
Para empezar, Morgenstern dice que cualquiera puede consultar el backend del reloj inteligente a través de una API world wide web de acceso público. Este es el mismo backend donde la aplicación móvil también se conecta para recuperar los datos que muestra en los teléfonos de los padres.
Morgenstern dice que existe un token de autenticación que supuestamente existe para evitar el acceso no autorizado, pero los atacantes pueden proporcionar cualquier token que deseen, ya que el servidor nunca verifica su validez.
Un atacante puede conectarse a esta API web, recorrer todas las ID de usuario y recopilar datos sobre todos los niños y sus padres.
Morgenstern dice que al usar esta técnica, su equipo pudo identificar a más de 5,000 usuarios de relojes inteligentes M2 y más de 10,000 cuentas de padres.
La mayoría de los niños estaban ubicados en toda Europa, en países como los Países Bajos, Polonia, Turquía, Alemania, España y Bélgica, pero el CEO de AV-Take a look at dice que también han encontrado relojes inteligentes activos en China, Hong Kong y México.
Imagen: AV-Check
Los datos expuestos a través de esta API web incluyen la ubicación geográfica true del niño, el tipo de dispositivo y la tarjeta SIM IMEI.
Además, una segunda vulnerabilidad permitió el acceso a funciones aún más espeluznantes. Morgenstern dice que la aplicación móvil instalada en los teléfonos de los padres también es muy insegura.
Un atacante puede instalarlo en su propio dispositivo, cambiar una ID de usuario en el archivo de configuración principal de la aplicación y emparejar su teléfono inteligente con el reloj inteligente de un niño sin tener que ingresar una dirección de correo electrónico o contraseña de la cuenta principal.
Una vez que los atacantes han emparejado su teléfono inteligente con el reloj inteligente de un niño, pueden usar las funciones de la aplicación para rastrear al niño a través de un mapa, o incluso hacer llamadas y comenzar conversaciones de voz con niños.
Peor aún, el atacante puede cambiar la contraseña de la cuenta móvil y bloquear a los padres de la aplicación mientras le dan instrucciones incorrectas a un niño.
Mira todavía a la venta
Morgenstern dice que se han puesto en contacto con SMA con sus hallazgos. No dijo cómo reaccionó SMA, pero solo mencionó que el reloj todavía se vende a través del sitio world-wide-web de la compañía y a través de otros distribuidores (1, 2)
Morgenstern dice que el distribuidor alemán Pearl ha tomado el M2 de sus estantes después de su informe.
SMA no devolvió una solicitud de comentarios antes de la publicación de este artículo.
El CEO de AV-Exam también se contactó con la Oficina Federal de Seguridad de la Información (BSI), la agencia de ciberseguridad del país. En 2017, el BSI prohibió la venta de relojes inteligentes para niños en Alemania si el reloj venía con una función de escucha remota.
A principios de este año, en febrero, la UE retiró del mercado los modelos de relojes inteligentes de dos niños debido a fallas de seguridad similares que permitieron a los atacantes contactar y / o rastrear las ubicaciones de los niños.
