Relógio que espiona os filhos

Um smartwatch de rastreamento de localização usado por milhares de crianças provou ser relativamente fácil de hackear.

Um pesquisador de segurança descobriu que os dispositivos não criptografavam os dados que eles usavam nem protegiam a conta de cada criança.

Como resultado, ele disse que poderia acompanhar os movimentos das crianças, escutar sub-repticiamente suas atividades e fazer chamadas falsas para os relógios que pareciam ser de pais.

Especialistas dizem que os problemas são tão graves que o produto deve ser descartado.

Tanto a BBC quanto o pesquisador envolvido tentaram entrar em contato com os fabricantes do MiSafes Kid’s Watcher Plus para alertá-los sobre o problema, mas não receberam resposta.

Da mesma forma, uma empresa com sede na China listada como fornecedora do produto não respondeu a solicitações.

‘Hack simples’

O relógio MiSafes foi lançado pela primeira vez em 2015.

Ele usa um sensor de sistema de posicionamento global (GPS) e uma conexão de dados móveis 2G para permitir que os pais vejam onde seu filho está, por meio de um aplicativo de smartphone.

Além disso, os pais podem criar uma “zona segura” e receber um alerta se a criança deixar a área.

O adulto também pode ouvir o que seus filhos estão fazendo a qualquer momento e acionar chamadas bidirecionais.

Ken Munro e Alan Monie, do Pen Test Partner, souberam da existência do produto quando um amigo comprou um para seu filho no início deste ano.

Por curiosidade, eles investigaram suas medidas de segurança e descobriram que softwares de PC fáceis de encontrar poderiam ser usados ​​para imitar as comunicações do aplicativo.

Este software pode ser usado para alterar o número de identificação atribuído, o que foi o suficiente para obter acesso às contas de outras pessoas.

Isso permitiu ver informações pessoais usadas para registrar o produto, incluindo:

   uma foto da criança
   nome, sexo e data de nascimento
   sua altura e peso
   os números de telefone dos pais
   o número de telefone atribuído ao cartão Sim do relógio

“É provavelmente o truque mais simples que já vimos”, disse ele à BBC.

“Eu queria que fosse mais complicado. Não é.”

Em vez de comprometer os relógios de outras pessoas, os pesquisadores compraram várias outras unidades para testar.

Com estes, eles descobriram que era possível:

   acionar o recurso de escuta remota do relógio de outra pessoa, com o único aviso sendo que uma breve mensagem “ocupada” apareceu antes que a tela retornasse ao branco
   rastrear os locais atuais e passados ​​do usuário
   alterar a instalação da zona de segurança, de modo que os alertas sejam acionados pela abordagem de uma criança, em vez de sua partida

Os Parceiros de Teste de Caneta também descobriram que era possível ignorar um recurso que deveria limitar o relógio a aceitar chamadas de apenas partes autorizadas.

Os pesquisadores fizeram isso usando um serviço on-line chamado “brincadeira” que engana os aparelhos receptores para mostrar o número de identificação de chamadas de outra pessoa.
Imagem de direitos autorais MiSafes

Proibição de vendas

O Conselho de Consumidores da Noruega destacou outros casos de smartwatches direcionados a crianças com falhas de segurança no ano passado.

Ele disse que os produtos MiSafes parecem ser “ainda mais problemáticos” do que os exemplos que ele havia sinalizado.

“Este é outro exemplo de produtos inseguros que nunca deveriam ter chegado ao mercado”, disse Gro Mette Moen, diretor de serviços digitais da agência de vigilância.

“Nosso conselho é evitar comprar esses smartwatches até que os vendedores possam provar que suas características e padrões de segurança são satisfatórios”.

No Reino Unido, a Amazon costumava vender os relógios, mas não tinha estoque há algum tempo.

A BBC encontrou três listagens para os relógios no eBay no início desta semana, mas o mercado on-line informou que os removeu devido a uma proibição existente em equipamentos que poderiam ser usados ​​para espionar as atividades das pessoas sem o conhecimento deles.

“Não permitimos a venda desses produtos em nosso mercado”, disse uma porta-voz.

A MiSafes já havia feito manchetes em fevereiro, quando uma empresa austríaca de segurança cibernética descobriu várias falhas com seus monitores de bebê Mi-Cam.

 

Segundo a SEC Consult, isso significa que hackers podem espionar filmagens de casas de proprietários e sequestrar contas.

Também não foi possível obter uma resposta do fabricante.

Deixe um comentário

O seu endereço de e-mail não será publicado.