Vị trí của hơn 5000 trẻ em bị lộ lọt do đồng hồ thông minh giá rẻ

LP| 26/11/2019 10:42
Theo dõi ICTVietnam trên

Ứng dụng di động và hệ thống backend web không an toàn cho phép kẻ tấn công truy cập vào bất kỳ thông tin chi tiết nào của con trẻ và tài khoản của phụ huynh.

Một chiếc đồng hồ thông minh trẻ em giá rẻ 35 USD được sản xuất tại Trung Quốc đã làm lộ thông tin cá nhân và vị trí của hơn 5.000 trẻ em và cha mẹ của các em.

Trong một báo cáo được công bố bởi bộ phận thử nghiệm IoT của AV-TEST, các nhà nghiên cứu cho biết họ đã phát hiện các biện pháp bảo mật được áp dụng để bảo vệ backend và di động của đồng hồ thông minh M2, do công ty SMA của Trung Quốc sản xuất gặp lỗi.

Maik Morgenstern, Giám đốc điều hành và Giám đốc kỹ thuật của AV-TEST, người đã thử nghiệm đồng hồ thông minh trẻ em trong hơn hai năm cho biết: "Đồng hồ thông minh M2 của SMA, Trung Quốc, đang gặp rủi ro về lỗi bảo mật”.

Đồng hồ thông minh M2 và các lỗi bảo mật

Đồng hồ thông minh trẻ em M2, được thiết kế đi cùng với một ứng dụng đồng hành, đã hiện diện trên thị trường trong vài năm qua.

Hình ảnh đồng hồ thông minh W2 trên trang web SMA

Các bậc cha mẹ khi mua sản phẩm này sẽ đăng ký tài khoản trên dịch vụ SMA, ghép đồng hồ thông minh của con họ với điện thoại của họ và sử dụng ứng dụng để theo dõi vị trí của trẻ, thực hiện cuộc gọi thoại hoặc nhận thông báo khi trẻ rời khỏi khu vực được chỉ định.

Có rất nhiều sản phẩm tương tự trên thị trường với mức giá khác nhau từ 30 USD đến 200- 300 USD. Tuy nhiên, Morgenstern cho rằng SMA đã làm ra một trong những sản phẩm thiếu an toàn nhất trên thị trường.

Đối với những người mới, Morgenstern cho biết bất kỳ ai cũng có thể truy vấn phần backend của đồng hồ thông minh này thông qua API web công khai. Đây cũng là backend mà ứng dụng di động kết nối để lấy dữ liệu và hiển thị trên điện thoại của cha mẹ.

Morgenstern cho biết: có một mã thông báo xác thực được cho là để ngăn chặn truy cập trái phép, nhưng kẻ tấn công có thể cung cấp bất kỳ mã thông báo nào họ thích, vì máy chủ không bao giờ xác minh tính hợp lệ của nó.

Kẻ tấn công có thể kết nối với API web này, lướt qua tất cả ID người dùng và thu thập dữ liệu về tất cả trẻ em và cha mẹ của chúng.

Morgenstern cho biết thêm: bằng cách sử dụng kỹ thuật này, nhóm nghiên cứu của AV-TEST đã có thể xác định được hơn 5.000 trẻ em đeo đồng hồ thông minh M2 và hơn 10.000 tài khoản phụ huynh.

Hầu hết thông tin lộ lọt là của các trẻ em ở châu Âu, bao gồm các quốc gia như Hà Lan, Ba Lan, Thổ Nhĩ Kỳ, Đức, Tây Ban Nha và Bỉ, nhưng CEO của AV-TEST cho biết họ cũng đã tìm thấy những chiếc đồng hồ thông minh bị lộ lọt có ở Trung Quốc, Hồng Kông và Mexico.

Bản đồ AV-TEST đo lường đồng hồ thông minh M2 hiện diện ở các vị trí

Dữ liệu được hiển thị qua API web này bao gồm vị trí địa lý hiện tại của trẻ em, loại thiết bị và mã số nhận dạng quốc tế từng điện thoại di động (IMEI) thẻ SIM.

Hơn nữa, một lỗ hổng thứ hai cho phép truy cập vào các chức năng thậm chí còn đáng lo ngại hơn. Morgenstern nói rằng ứng dụng di động được cài đặt trên điện thoại của cha mẹ cũng không an toàn. Kẻ tấn công có thể cài đặt nó trên thiết bị của riêng họ, thay đổi ID người dùng trong tệp cấu hình chính của ứng dụng và để điện thoại thông minh của họ được ghép nối với một chiếc đồng hồ thông minh của trẻ mà không cần phải nhập địa chỉ email hoặc mật khẩu của tài khoản mẹ.

Một khi những kẻ tấn công đã ghép nối điện thoại thông minh của họ với đồng hồ thông minh của con trẻ, chúng có thể sử dụng các tính năng của ứng dụng để theo dõi trẻ thông qua bản đồ hoặc thậm chí thực hiện cuộc gọi và bắt đầu trò chat thoại với trẻ em.

Tệ hơn nữa, kẻ tấn công có thể thay đổi mật khẩu của tài khoản di động và phụ huynh không thể truy cập ứng dụng, trong khi đó, kẻ tấn công đưa ra một hướng dẫn sai cho trẻ.

Vẫn được bán trên thị trường

Morgenstern cho biết nhóm nghiên cứu đã liên lạc với SMA về những phát hiện của họ nhưng không tiết lộ SMA đã phản hồi như thế nào, và chỉ đề cập rằng đồng hồ vẫn đang được bán thông qua trang web của công ty cũng như các nhà phân phối khác.

Morgenstern nói rằng nhà phân phối Pearl của Đức đã hạ M2 khỏi kệ của họ sau báo cáo của họ. 

Giám đốc điều hành AV-TEST cũng đã liên lạc với Văn phòng An ninh Thông tin Liên bang (BSI), cơ quan an ninh mạng của Đức. Năm 2017, BSI đã cấm bán đồng hồ thông minh trẻ em ở Đức nếu đồng hồ đi kèm với tính năng nghe từ xa.

Đầu năm nay vào tháng 2, Liên minh châu Âu (EU) đã triệu hồi 2 mẫu đồng hồ thông minh của trẻ em vì các lỗi bảo mật tương tự cho phép kẻ tấn công liên lạc hoặc theo dõi các địa điểm của trẻ em.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Vị trí của hơn 5000 trẻ em bị lộ lọt do đồng hồ thông minh giá rẻ
POWERED BY ONECMS - A PRODUCT OF NEKO