Mamy kolejny przykład tego, że zabezpieczenia sprzętu IoT (Internet of Things, Internet rzeczy) są słabe. Przeznaczony dla dzieci zegarek Enox Safe-Kid-One został wycofany z europejskiego rynku po tym, jak Komisja Europejska zaalarmowała o zagrożeniu poufności danych w związku z tym gadżetem.
Zegarek Enox Safe-Kid-One został zaprojektowany z myślą niesienia pomocy rodzicom w nadzorze i komunikowaniu się ze swoimi dziećmi. Urządzenie przeszło pomyślnie wymagane testy w Niemczech, gdzie jest produkowane, jednak nie poradziło sobie z analogicznymi badaniami w Islandii. Władze tego kraju skierowały więc ostrzeżenie do Komisji Europejskiej. Islandia co prawda nie należy do Unii Europejskiej, ale jest członkiem Europejskiego Obszaru Gospodarczego.
Testy, które zostały przeprowadzone w Islandii wykazały, że zegarki narażone były na kontakt z osobami postronnymi, umożliwiający nieautoryzowany dostęp do danych.
- Dzięki takiemu wyposażeniu jak mikrofon, głośnik i moduł GPS hakerzy mogą łatwo manipulować urządzeniem, włącznie z fałszowaniem informacji o lokalizacji dziecka. Zazwyczaj właśnie przy pomocy zainstalowanej na smartfonie aplikacji, rodzice mogą kontrolować miejsce pobytu swoich dzieci i komunikować się z nimi. Złośliwy użytkownik może wysłać polecenie do dowolnego zegarka, nakazując mu zainicjowanie połączenia z dowolnie wybranym numerem telefonicznym. Może również komunikować się z dzieckiem noszącym urządzenie lub zlokalizować je za pomocą GPS.
- powiedział Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe.
- Dołączona do zegarka mobilna aplikacja ma nieszyfrowaną komunikację z serwerem zaplecza, co umożliwia nieuwierzytelniony dostęp do danych.
- czytamy w raporcie The Rapid Alert System for Non-Food Products (RAPEX).
W rezultacie dane takie, jak historia lokalizacji, numery telefonów i numer seryjny urządzenia mogą być z łatwością pobrane i zmienione. Produkt nie jest zgodny z dyrektywą dotyczącą urządzeń radiowych. Pojawiające się często na rynku, wykonane z wykorzystaniem podzespołów niskiej jakości i przeznaczone dla dzieci gadżety IoT, a szczególnie smartwatche, nie spełniają norm bezpieczeństwa. W trosce o uszanowanie prywatności użytkowników doprowadziło to takie kraje jak Niemcy do wprowadzenia zakazu ich rozpowszechniania.
Zobacz: Polska Grupa Zbrojeniowa "oddała" hakerom 4 mln złotych. Phishing działa na każdego
Zobacz: Wystarczy jeden plik PNG, by wykonać złośliwy kod na Androidzie. Lutowe poprawki łatają tę podatność
Zobacz: Aplikacje upiększające selfie na Androida pokazywały reklamy porno i kradły zdjęcia użytkowników
Źródło zdjęć: Enox
Źródło tekstu: Bitdefender
