Vị trí của hơn 5000 trẻ em bị lộ lọt do đồng hồ thông minh giá rẻ

LP| 26/11/2019 10:42
Theo dõi ICTVietnam trên

Ứng dụng di động và hệ thống backend web không an toàn cho phép kẻ tấn công truy cập vào bất kỳ thông tin chi tiết nào của con trẻ và tài khoản của phụ huynh.

Một chiếc đồng hồ thông minh trẻ em giá rẻ 35 USD được sản xuất tại Trung Quốc đã làm lộ thông tin cá nhân và vị trí của hơn 5.000 trẻ em và cha mẹ của các em.

Trong một báo cáo được công bố bởi bộ phận thử nghiệm IoT của AV-TEST, các nhà nghiên cứu cho biết họ đã phát hiện các biện pháp bảo mật được áp dụng để bảo vệ backend và di động của đồng hồ thông minh M2, do công ty SMA của Trung Quốc sản xuất gặp lỗi.

Maik Morgenstern, Giám đốc điều hành và Giám đốc kỹ thuật của AV-TEST, người đã thử nghiệm đồng hồ thông minh trẻ em trong hơn hai năm cho biết: "Đồng hồ thông minh M2 của SMA, Trung Quốc, đang gặp rủi ro về lỗi bảo mật”.

Đồng hồ thông minh M2 và các lỗi bảo mật

Đồng hồ thông minh trẻ em M2, được thiết kế đi cùng với một ứng dụng đồng hành, đã hiện diện trên thị trường trong vài năm qua.

Hình ảnh đồng hồ thông minh W2 trên trang web SMA

Các bậc cha mẹ khi mua sản phẩm này sẽ đăng ký tài khoản trên dịch vụ SMA, ghép đồng hồ thông minh của con họ với điện thoại của họ và sử dụng ứng dụng để theo dõi vị trí của trẻ, thực hiện cuộc gọi thoại hoặc nhận thông báo khi trẻ rời khỏi khu vực được chỉ định.

Có rất nhiều sản phẩm tương tự trên thị trường với mức giá khác nhau từ 30 USD đến 200- 300 USD. Tuy nhiên, Morgenstern cho rằng SMA đã làm ra một trong những sản phẩm thiếu an toàn nhất trên thị trường.

Đối với những người mới, Morgenstern cho biết bất kỳ ai cũng có thể truy vấn phần backend của đồng hồ thông minh này thông qua API web công khai. Đây cũng là backend mà ứng dụng di động kết nối để lấy dữ liệu và hiển thị trên điện thoại của cha mẹ.

Morgenstern cho biết: có một mã thông báo xác thực được cho là để ngăn chặn truy cập trái phép, nhưng kẻ tấn công có thể cung cấp bất kỳ mã thông báo nào họ thích, vì máy chủ không bao giờ xác minh tính hợp lệ của nó.

Kẻ tấn công có thể kết nối với API web này, lướt qua tất cả ID người dùng và thu thập dữ liệu về tất cả trẻ em và cha mẹ của chúng.

Morgenstern cho biết thêm: bằng cách sử dụng kỹ thuật này, nhóm nghiên cứu của AV-TEST đã có thể xác định được hơn 5.000 trẻ em đeo đồng hồ thông minh M2 và hơn 10.000 tài khoản phụ huynh.

Hầu hết thông tin lộ lọt là của các trẻ em ở châu Âu, bao gồm các quốc gia như Hà Lan, Ba Lan, Thổ Nhĩ Kỳ, Đức, Tây Ban Nha và Bỉ, nhưng CEO của AV-TEST cho biết họ cũng đã tìm thấy những chiếc đồng hồ thông minh bị lộ lọt có ở Trung Quốc, Hồng Kông và Mexico.

Bản đồ AV-TEST đo lường đồng hồ thông minh M2 hiện diện ở các vị trí

Dữ liệu được hiển thị qua API web này bao gồm vị trí địa lý hiện tại của trẻ em, loại thiết bị và mã số nhận dạng quốc tế từng điện thoại di động (IMEI) thẻ SIM.

Hơn nữa, một lỗ hổng thứ hai cho phép truy cập vào các chức năng thậm chí còn đáng lo ngại hơn. Morgenstern nói rằng ứng dụng di động được cài đặt trên điện thoại của cha mẹ cũng không an toàn. Kẻ tấn công có thể cài đặt nó trên thiết bị của riêng họ, thay đổi ID người dùng trong tệp cấu hình chính của ứng dụng và để điện thoại thông minh của họ được ghép nối với một chiếc đồng hồ thông minh của trẻ mà không cần phải nhập địa chỉ email hoặc mật khẩu của tài khoản mẹ.

Một khi những kẻ tấn công đã ghép nối điện thoại thông minh của họ với đồng hồ thông minh của con trẻ, chúng có thể sử dụng các tính năng của ứng dụng để theo dõi trẻ thông qua bản đồ hoặc thậm chí thực hiện cuộc gọi và bắt đầu trò chat thoại với trẻ em.

Tệ hơn nữa, kẻ tấn công có thể thay đổi mật khẩu của tài khoản di động và phụ huynh không thể truy cập ứng dụng, trong khi đó, kẻ tấn công đưa ra một hướng dẫn sai cho trẻ.

Vẫn được bán trên thị trường

Morgenstern cho biết nhóm nghiên cứu đã liên lạc với SMA về những phát hiện của họ nhưng không tiết lộ SMA đã phản hồi như thế nào, và chỉ đề cập rằng đồng hồ vẫn đang được bán thông qua trang web của công ty cũng như các nhà phân phối khác.

Morgenstern nói rằng nhà phân phối Pearl của Đức đã hạ M2 khỏi kệ của họ sau báo cáo của họ. 

Giám đốc điều hành AV-TEST cũng đã liên lạc với Văn phòng An ninh Thông tin Liên bang (BSI), cơ quan an ninh mạng của Đức. Năm 2017, BSI đã cấm bán đồng hồ thông minh trẻ em ở Đức nếu đồng hồ đi kèm với tính năng nghe từ xa.

Đầu năm nay vào tháng 2, Liên minh châu Âu (EU) đã triệu hồi 2 mẫu đồng hồ thông minh của trẻ em vì các lỗi bảo mật tương tự cho phép kẻ tấn công liên lạc hoặc theo dõi các địa điểm của trẻ em.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Tập đoàn VNPT tăng trưởng 7% năm 2024
    Năm 2024, mặc dù thị trường viễn thông - công nghệ thông tin gặp khá nhiều khó khăn, song với nhiều nỗ lực và quyết tâm cao, Tập đoàn VNPT vẫn giữ vững thị phần với các dịch vụ trọng điểm, tối ưu chi phí, để doanh thu, lợi nhuận toàn Tập đoàn được duy trì và tăng trưởng so với cùng kỳ.
  • Hướng tới vinh danh các "Sản phẩm công nghệ số Make in Viet Nam” 2024
    Giải thưởng "Sản phẩm công nghệ số Make in Viet Nam" là giải thưởng vinh danh những sản phẩm, giải pháp, nền tảng xuất sắc, tiêu biểu, thể hiện năng lực của doanh nghiệp Việt và người Việt trong việc làm chủ về công nghệ, chủ động thiết kế, chế tạo các sản phẩm công nghệ số.
  • 5,5 tỷ người trên thế giới sử dụng Internet
    Theo báo cáo mang tên “Thực tế và Con số 2024” của Liên minh Viễn thông Quốc tế (ITU), năm 2024 đã có thêm 227 triệu người được tiếp cận Internet, nâng tổng số người sử dụng Internet lên 5,5 tỷ người, chiếm 68% dân số toàn cầu.
  • Bưu điện hợp tác với công ty hàng đầu Hàn Quốc về công nghệ, sàn giao dịch dữ liệu
    Tổng công ty Bưu điện Việt Nam (Vietnam Post) và Công ty DataStreams Corp (DataStreams) hợp tác trong lĩnh vực công nghệ dữ liệu nhằm khai thác sức mạnh dữ liệu để nâng cao hiệu quả hoạt động, tăng cường năng lực cạnh tranh và mang lại giá trị gia tăng cho khách hàng.
  • Chấn chỉnh, đảm bảo hoạt động bán hàng đa cấp diễn ra trong khuôn khổ pháp luật
    Các hoạt động bán hàng đa cấp ngày càng biến tướng ti vi dưới nhiều hình thức. Đây là lĩnh vực kinh doanh nhạy cảm, dễ bị biến tướng thành các hoạt động lừa đảo, huy động tài chính bất hợp pháp, gây hệ lụy xấu trên quy mô lớn cho xã hội.
Đừng bỏ lỡ
Vị trí của hơn 5000 trẻ em bị lộ lọt do đồng hồ thông minh giá rẻ
POWERED BY ONECMS - A PRODUCT OF NEKO