Kinderen te bespioneren door beveiligingslek in gps-horloges

[Captain Kirk]

Een beveiligingslek in gps-horloges van verschillende fabrikanten maakt het mogelijk om kinderen in real-time te volgen en hun omgeving af te luisteren zonder dat dit zichtbaar is. Het gaat om horloges van fabrikant miSafes alsmede 53 andere merken. Zowel securitybedrijf Pen Test Partners dat het probleem ontdekte als de BBC lukte het niet om in contact met miSafes te komen.

De kwetsbaarheid is nog altijd niet opgelost en ouders wordt dan ook aangeraden om het gebruik van gps-horloges te heroverwegen. De gps-horloges beschikken over een bijbehorende app waarmee ouders de locatie van hun kinderen op hun eigen smartphone kunnen zien. Ook is het mogelijk om de omgeving van het kind op te nemen, een bericht te versturen of het kind te bellen. Het probleem wordt veroorzaakt door de programmeerinterface waar de app gebruik van maakt.

De app verstuurt een "id" om informatie over het bijbehorende gps-horloge in de app weer te geven. Onderzoekers ontdekten dat ze door het opgeven van een ander "id" informatie van een ander gps-horloge kregen. Op deze manier is het bijvoorbeeld mogelijk om van alle gps-horloges de locatie op te vragen. Ook kon het telefoonnummer van het kind en de ouders worden achterhaald.

De gps-horloges maken gebruik van een whitelist van geautoriseerde telefoonnummers die het kind kunnen bellen. Het is echter mogelijk om deze whitelist te omzeilen en kinderen via een ander nummer te bellen. Ook kan via het aanpassen van een "id" de monitormode worden ingeschakeld en is zo de omgeving van het kind af te luisteren. Tevens lukte het de onderzoekers om de naam van het kind, alsmede zijn geboortedatum, geslacht, gewicht, lengte en foto op te vragen.

Ondanks herhaaldelijke pogingen lukte het niet om miSafes te benaderen. Daardoor lopen naar schatting 30.000 kinderen die miSafes-horloges gebruiken risico. Het probleem is echter niet beperkt tot miSafes. Er zijn 53 andere merken met soortgelijke problemen ontdekt. Namen van deze bedrijven zijn echter niet genoemd. Het gaat onder andere om horloges die onder verschillende namen worden aangeboden.

Het totaal aantal kwetsbare gps-horloges bedraagt naar schatting meer dan 1 miljoen. Misbruik van de kwetsbaarheden vereist volgens de onderzoekers basale programmeervaardigheden en verschillende gratis tools. Ouders krijgen daarom het advies om het gebruik van gps-horloges te heroverwegen. Amazon en eBay zouden de horloges inmiddels niet meer aanbieden.

 

 

bron: security.nl