Troszcząc się o bezpieczeństwo dzieci, inwestujemy w różne rozwiązania techniczne, np. zegarki, które wskażą nam, gdzie jest dziecko i umożliwią obustronny kontakt. Mogą jednak mieć poważne luki w zabezpieczeniach i wtedy stają się źródłem zagrożenia.
miSafes to niedrogie urządzenia (ok. 50 zł) wyposażone w GPS oraz modem GSM. Po zainstalowaniu w nich karty SIM można rozmawiać z dzieckiem, wysyłać mu wiadomości, sprawdzać, gdzie aktualnie przebywa oraz otrzymać wezwania SOS. Jednak analityk bezpieczeństwa Alan Monie z Pen Test Partners, firmy zajmującej się testowaniem zabezpieczeń sieciowych, odkrył w zegarkach dla dzieci oferowanych przez firmę miSafes poważne luki.
W przypadku większości dostępnych na rynku zegarków o podobnej funkcjonalności, przejęcie nad nimi kontroli wymaga fizycznego dostępu do urządzenia, w celu poznania numeru IMEI. Natomiast z zegarkami miSafes jest inaczej. Monie odkrył, że w przypadku tych urządzeń, aby włamać się do zegarka wystarczy zdalny dostęp za pośrednictwem sieci komórkowej.
Luka została wykryta za pomocą Burpa – ogólnodostępnego narzędzia do testowania bezpieczeństwa aplikacji internetowych. Pozwala on m.in. kontrolować i analizować ruch pomiędzy aplikacją miSafes a serwerem pośredniczącym (proxy) w komunikacji z zegarkami. Okazało się, że transmisja danych nie jest szyfrowana i łatwo można podmienić informacje (np. numer umieszczonej w zegarku karty sim, hasło i inne) na spreparowane.
Taka metoda ataku pozwala przechwycić numer IMEI (czyli dokładnie wiemy, do którego zegarka zyskaliśmy nieautoryzowany dostęp) oraz poznać położenie wszystkich zegarków zalogowanych do sieci komórkowej. W połączeniu z fałszowaniem identyfikatora rodzica, metoda staje się poważnym zagrożeniem dla bezpieczeństwa dzieci.
Metodą tą Monie zyskał dostęp do aktualizowanej w czasie rzeczywistym lokalizacji wszystkich dzieci posiadających zegarek miSafes. Mógł również zestawić jednokierunkowe połączenie głosowe, pozwalające nasłuchiwać, co się dzieje w otoczeniu dziecka oraz wysłać mu wiadomość audio. Co gorsze, mógł się podszyć pod rodzica wysyłającego do swojego dziecka wiadomość tekstową.
Zarówno autor ataku, jak i zainteresowane media skontaktowali się z producentem z prośbą o komentarz. Do tej pory miSafes nie udzielił odpowiedzi.
Zegarki nie są dostępne w Polsce, ale przypadek ten pokazuje, jak bardzo powinniśmy uważać, czy nie narażamy najmłodszych na niebezpieczeństwo.
Autor: Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken
Dodaj komentarz