Mamy bardzo złe wieści dla rodziców dzieci, które nabyły swoim pociechom popularny w Polsce, niedrogi smartwach z trackerem GPS SMA-WATCH-M2. Instytut AV-Test informuje, że chiński zegarek kolekcjonuje bardzo dużo wrażliwych danych, które potem udostępnia w sieci w sposób niezabezpieczony. Wśród nich są dane lokalizacyjne, wiadomości głosowe, zdjęcia, imiona rodziców i dzieci, a nawet adresy. Może je pobrać każdy, bez jakichkolwiek uprawnień.
Niebezpieczny zegarek SMA-WATCH-M2
„W zeszłym tygodniu nadal mogliśmy uzyskać dostęp do danych o lokalizacji, numerów telefonów, zdjęć i rozmów od ponad 5000 dzieci. Jest to możliwe dzięki całkowicie niezabezpieczonemu interfejsowi online serwera producenta.”, czytamy w komunikacie wystosowanym przez AV-Test.
Mapa cieplna stworzona przez ekspertów ds. bezpieczeństwa pokazuje, że najwięcej danych dzieci pochodzi z Polski.
Źródło: AV-Test
Problemem jest niezabezpieczone API z generowanym, ale nie weryfikowanym (!) tokenem uwierzytelniającym. Podając kolejne numery ID niepowołana osoba może uzyskać dostęp do danych o których mowa i dzięki temu sparować swoją apkę z zegarkiem dowolnego dziecka na świecie.
Cyberprzestępcy mogą w ten sposób bez problemu ustalić pozycję dziecka w czasie rzeczywistym i nawiązać z nim bezpośredni kontakt przez połączenie telefoniczne. Jednocześnie uprawnieni użytkownicy (rodzice) mogą zostać zablokowani z konta, co zapobiega skutecznej pomocy w nagłych przypadkach – na przykład porwania.
Jeśli macie zegarek SMA-WATCH-M2 to dla dobra własnego i Waszych dzieci, przestańcie z niego korzystać. Smartwatch może być sprzedawany także pod innymi markami, w wielu chińskich sklepach.
Źródło: AV-Test