Une Smartwatch bon marché expose l’emplacement de plus de 5 000 enfants

Le backend web et l’application mobile non sécurisés permettent aux attaquants d’accéder aux informations et au compte parent de n’importe quel enfant.

Une montre intelligente bon marché fabriquée en Chine d’une valeur de 35 USD expose les détails personnels et les informations d’emplacement de plus de 5 000 enfants et de leurs parents.

Dans un rapport publié aujourd’hui par la division de test de l’Internet des objets d’AV-TEST, des chercheurs ont découvert des mesures de sécurité extrêmes mises en place pour protéger le backend et l’application mobile de la smartwatch M2 , fabriqués par la société chinoise SMA.

« Le SMA-WATCH-M2 chinois dépasse de loin les problèmes de sécurité d’autres fabricants », a déclaré Maik Morgenstern, PDG et directeur technique d’AV-TEST, dont l’équipe teste des montres intelligentes pour enfants depuis plus de deux ans .

LA SMARTWATCH M2 ET SES FAILLES DE SÉCURITÉ

La smartwatch SMA W2 pour enfants existe depuis des années. Elle a été conçue pour fonctionner avec une application mobile. Les parents créent un compte sur le service SMA, appairent la smartwatch de leur enfant au téléphone et utilisent l’application pour suivre la position de l’enfant, passer des appels vocaux ou recevoir des notifications lorsque l’enfant quitte une zone désignée.

Le concept n’est pas nouveau, car il existe de nombreux produits similaires sur le marché, dont les prix varient de 30 $ à 200 $ – 300 $. Cependant, Morgenstern suggère que SMA a créé l’un des produits les moins sûrs du marché.

Pour commencer, Morgenstern indique que n’importe qui peut interroger le backend du smartwatch via une API Web accessible au public. Il s’agit du même backend où l’application mobile se connecte également pour récupérer les données affichées sur les téléphones des parents.

Morgenstern dit qu’il existe un jeton d’authentification censé empêcher l’accès non autorisé, mais les attaquants peuvent fournir le jeton de leur choix, car le serveur ne vérifie jamais sa validité.

Un attaquant peut se connecter à cette API Web, parcourir tous les ID utilisateur et collecter des données sur tous les enfants et leurs parents.

Morgenstern explique qu’en utilisant cette technique, son équipe a été en mesure d’identifier plus de 5 000 porteurs de montres intelligentes M2 et plus de 10 000 comptes parents.

La plupart des enfants se trouvaient partout en Europe, notamment aux Pays-Bas, en Pologne, en Turquie, en Allemagne, en Espagne et en Belgique, mais le PDG d’AV-TEST a également découvert des smartwatches actives en Chine, à Hong Kong et au Mexique.

Les données exposées via cette API Web comprenaient l’emplacement géographique actuel de l’enfant, son type d’appareil et son numéro de carte SIM IMEI.

En outre, une deuxième vulnérabilité permettait l’accès à des fonctions encore plus effrayantes. Morgenstern dit que l’application mobile installée sur les téléphones des parents est également très précaire.

Un attaquant peut l’installer sur son propre appareil, modifier un ID utilisateur dans le fichier de configuration principal de l’application et associer son smartphone à une montre intelligente pour enfant sans même avoir à entrer l’adresse e-mail ou le mot de passe d’un compte parent.

Une fois que les attaquants ont couplé leur smartphone à la smartwatch d’un enfant, ils peuvent utiliser les fonctionnalités de l’application pour suivre l’enfant sur une carte, ou même passer des appels et lancer des conversations vocales avec des enfants.

Pire encore, l’attaquant peut changer le mot de passe du compte mobile et verrouiller le parent de l’application pendant qu’il donne des instructions erronées à un enfant.

TOUJOURS EN VENTE

Morgenstern dit qu’ils ont contacté SMA avec leurs conclusions. Il n’a pas expliqué comment SMA avait réagi, mais avait seulement mentionné que la montre était toujours vendue via le site Web de la société et via d’autres distributeurs.

Morgenstern dit que le distributeur allemand Pearl a retiré le M2 de son catalogue après leur rapport.

SMA n’a pas renvoyé de demande de commentaire avant la publication de cet article.

Le directeur général d’AV-TEST a également contacté l’Office fédéral de la sécurité de l’information (BSI), l’agence de cybersécurité du pays. En 2017, le BSI a interdit la vente de montres intelligentes pour enfants en Allemagne si la montre était dotée d’une fonction d’écoute à distance.

Plus tôt cette année, en février, l’UE a rappelé les modèles de smartwatch de deux enfants en raison de failles de sécurité similaires permettant aux assaillants de contacter et / ou de localiser les emplacements des enfants.

Source: « https://www.zdnet.com/article/cheap-kids-smartwatch-exposes-the-location-of-5000-children/«