El rastreador Smartwatch para los vulnerables puede ser pirateado para enviar alertas de medicamentos


Los investigadores han revelado un conjunto de problemas de seguridad graves en un rastreador de reloj inteligente utilizado en aplicaciones que incluyen servicios diseñados para el apoyo de personas mayores y vulnerables.

El jueves, expertos en ciberseguridad de Pen Examination Partners problemas de seguridad revelados encontrado en el servicio SETracker, program dirigido a niños y ancianos, especialmente aquellos con demencia o personas que necesitan recordatorios para completar las tareas diarias, como tomar sus medicamentos.

Los cuidadores pueden usar la aplicación de rastreo GPS junto con un reloj inteligente para encontrar sus cargos y, a su vez, los usuarios pueden usar el sistema para hacer una llamada si necesitan ayuda.

Ver también: Los investigadores conectan al grupo de piratería Evilnum con ataques cibernéticos contra empresas Fintech

La aplicación SETracker del desarrollador chino 3G Electronics, requerida para usar los relojes, está disponible en iOS y Android y se ha descargado más de 10 millones de veces.

Sin embargo, las fallas de seguridad en el producto significaron que no solo los cuidadores o seres queridos podían hacer un seguimiento de los movimientos o actividades de un usuario.

El application del proveedor, del cual ahora hay tres variedades de aplicaciones móviles, a menudo se usa en el backend de relojes inteligentes baratos que se ofrecen de una variedad de marcas. SETracker también se encuentra en auriculares y en la industria del program automotriz.

Según Pen Test Partners, el primer problema importante de seguridad fue el descubrimiento de una API de servidor a servidor sin restricciones. El servidor podría usarse para secuestrar el servicio SETracker de maneras que incluyen, entre otras, cambiar las contraseñas de los dispositivos, realizar llamadas, enviar mensajes de texto, realizar vigilancia y acceder a las cámaras integradas en los dispositivos.

Si el sistema de back-finish de un keep track of se basa en SETracker, era posible enviar mensajes falsos, incluidos los comandos «TAKEPILLS», que están configurados para recordar a los usuarios que tomen sus medicamentos.

«Es poco possible que un paciente con demencia recuerde que ya había tomado su medicamento», anotaron los investigadores. «Una sobredosis podría resultar fácilmente».

CNET: China pretende dominar todo, desde 5G hasta redes sociales, pero ¿lo hará?

Los investigadores también encontraron el código fuente del application, que accidentalmente se hizo público a través de un archivo de nodo compilado alojado en línea como una copia de seguridad sin protección.

El código del lado del servidor, las contraseñas de MySQL, las credenciales de correo electrónico, SMS y Redis, y una contraseña codificada en el código fuente, 123456, estaban disponibles para ver. Una base de datos que contiene imágenes de usuarios también estaba abierta al abuso.

«El código fuente indicaba que este cubo period donde se envían TODAS las imágenes tomadas por los dispositivos. No lo hemos confirmado», dice Pen Check Associates. «Dado que el uso de estos dispositivos es predominantemente para rastreadores de niños, es extremadamente probable que estas imágenes contengan imágenes de niños».

TechRepublic: Empleos tecnológicos mejor pagados: dónde encontrarlos

No se sabe si alguno de los problemas de seguridad ha sido explotado en la naturaleza.

Pen Take a look at Partners reveló sus hallazgos a 3G Electronics el 22 de enero. El proveedor no respondió hasta el 12 de febrero. Triage luego siguió con la divulgación de las vulnerabilidades de la API del servidor el 17 de febrero, que luego se solucionó un día después.

El 20 de mayo, los investigadores informaron el problema del archivo de nodo al proveedor, y el 29 de mayo, 3G Electronics confirmó que el archivo había sido eliminado y todas las contraseñas habían sido cambiadas.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia unique