Une smartwatch expose la localisation de 5000 enfants

Une smartwatch à bas prix fabriquée en Chine pour 35 $ expose les détails personnels et les informations de géolocalisation de plus de 5 000 enfants et de leurs parents.

Dans un rapport publié hier par la division de test d’objets connectés d’AV-TEST, des chercheurs ont découvert des failles au sein des mesures de sécurité mises en place pour protéger le backend et l’application mobile de la smartwatch M2 de la société chinoise SMA.

“La SMA-WATCH-M2 chinois dépasse de loin les problèmes de sécurité d’autres fabricants”, a déclaré Maik Morgenstern, PDG et directeur technique d’AV-TEST, dont l’équipe teste des montres intelligentes depuis plus de deux ans.

publicité

La smartwatch M2 et ses failles de sécurité

La smartwatch SMA W2 pour enfants existe depuis des années. Il a été conçu pour fonctionner avec une application mobile. Les parents peuvent créer un compte sur le service SMA, appairer la smartwatch de leur enfant au téléphone et utiliser l’application pour suivre la position de l’enfant, passer des appels vocaux ou recevoir des notifications lorsque l’enfant quitte une zone désignée.

Le concept n’est pas nouveau : il existe de nombreux produits similaires sur le marché, dont les prix varient de 30 $ à 200 $ – 300 $. Cependant, Morgenstern suggère que SMA a créé l’un des produits les moins sûrs du marché.

Pour commencer, Morgenstern indique que n’importe qui peut interroger le backend de la smartwatch via une API Web accessible au public. Il s’agit du même backend où l’application mobile se connecte également pour récupérer les données affichées sur les téléphones des parents.

Morgenstern dit qu’il existe un jeton d’authentification censé empêcher l’accès non autorisé, mais les attaquants peuvent utiliser n’importe quel jeton, car le serveur ne vérifie jamais sa validité.

Un attaquant peut se connecter à cette API Web, parcourir tous les ID utilisateur et collecter des données sur tous les enfants et leurs parents.

Morgenstern explique qu’en utilisant cette technique, son équipe a été en mesure d’identifier plus de 5 000 porteurs de montres intelligentes M2 et plus de 10 000 comptes parents.

La plupart des enfants se trouvaient partout en Europe, notamment aux Pays-Bas, en Pologne, en Turquie, en Allemagne, en Espagne et en Belgique, mais le PDG d’AV-TEST a également découvert des montres intelligentes actives en Chine, à Hong Kong et au Mexique.

 

Les données exposées via cette API Web comprenaient l’emplacement géographique actuel de l’enfant, son type d’appareil et son numéro de carte SIM IMEI.

En outre, une deuxième vulnérabilité permettait l’accès à des fonctions encore plus effrayantes. Morgenstern dit que l’application mobile installée sur les téléphones des parents est également peu sécurisée.

Un attaquant peut l’installer sur son propre appareil, modifier un identifiant d’utilisateur dans le fichier de configuration principal de l’application et associer son smartphone à une montre intelligente pour enfant sans même avoir à entrer l’adresse e-mail ou le mot de passe d’un compte parent.

Une fois que les attaquants ont couplé leur smartphone à la smartwatch d’un enfant, ils peuvent utiliser les fonctionnalités de l’application pour suivre l’enfant sur une carte, ou même passer des appels et lancer des conversations vocales avec des enfants.

Pire encore, l’attaquant peut changer le mot de passe du compte mobile et verrouiller le parent hors de l’application.

Toujours en vente

Morgenstern affirme avoir contacté SMA avec leurs conclusions. Il n’a pas expliqué comment SMA avait réagi, mais a seulement mentionné que la montre était toujours vendue via le site Web de la société et via d’autres distributeurs [1, 2].

Morgenstern dit que le distributeur allemand Pearl a cessé de distribuer les montres M2 après leur rapport.

SMA n’a pas répondu à nos demandes de commentaires.

Le directeur général d’AV-TEST a également contacté l’Office fédéral de la sécurité de l’information (BSI), l’agence de cybersécurité du pays. En 2017, le BSI a interdit la vente de montres intelligentes pour enfants en Allemagne dans les cas où la montre est dotée d’une fonction d’écoute à distance.

Plus tôt cette année, en février, l’UE a rappelé deux modèles de smartwatch pour enfants en raison de failles de sécurité similaires permettant aux pirates de contacter et/ou de localiser les emplacements des enfants.

Source : ZDNet.com

Advertisements
Spread the love

Leave a Reply