DearBytes stuit op lek in kindersmartwatches

  1. 31 mei 2018
  2. 0 reacties
DearBytes

DearBytes heeft een ernstig lek aangetroffen in kindersmartwatches. Door het lek konden kwaadwillenden relatief eenvoudig grote hoeveelheden locatiegegevens van kinderen achterhalen. De kwetsbaarheid werd aangetroffen in de cloudomgeving van een Chinese fabrikant wiens product onder allerlei merknamen wereldwijd wordt verkocht. Inmiddels is de kwetsbaarheid dankzij DearBytes verholpen.

Kindersmartwatches winnen de afgelopen tijd sterk aan populariteit. Deze slimme horloges beschikken over onder andere een gps-ontvanger, zodat ouders via een app eenvoudig kunnen zien waar hun kinderen zijn. DearBytes heeft nu een lek aangetroffen in de cloudomgeving van een Chinese fabrikant. Deze omgeving verwerkt de data die hun kindersmartwatches genereren. Het product wordt wereldwijd verkocht onder allerlei merknamen, waardoor het lek een enorme impact had.

Locatiegegevens

Wesley Neelen, ethical hacker bij DearBytes, heeft het onderzoek naar de kindersmartwatches uitgevoerd. Hij kon in de cloudomgeving relatief eenvoudig data van kindersmartwatches achterhalen. Denk hierbij aan de actuele locatie en de volledige locatiegeschiedenis van de smartwatch. Daarnaast kon hij deze gegevens projecteren op een kaart. Hij had hiervoor alleen het serienummer van de kindersmartwatch nodig.

Deze serienummers bleken gemakkelijk te achterhalen. Van de 10.000 geautomatiseerde pogingen werden ongeveer 500 valide nummers herkend. Ook konden de onderzoekers op deze manier grote hoeveelheden telefoonnummers van ouders opvragen. Een steekproef bevestigde de wereldwijde impact: de onderzoeker trof op hetzelfde platform naast Nederlandse telefoonnummers ook nummers uit 12 andere landen aan, waaronder België, Duitsland en het Verenigd Koninkrijk.

In de handen van kwaadwillenden zijn deze gegevens zeer gevaarlijk. "Hackers kunnen precies zien waar je kind is, maar ook welke route je kind vaak aflegt. De hacker hoeft daarvoor niet eens in de buurt te zijn van het kind. Dit kan vanaf iedere willekeurige locatie met een internetverbinding", legt Neelen uit.

Lek verholpen

De kwetsbaarheid werd aangetroffen in een kindersmartwatch die wordt verkocht onder de merknaam hellOO. De onderzoeker heeft het lek inmiddels daar gemeld. hellOO heeft vervolgens contact opgenomen met de Chinese fabrikant en het lek laten dichten.

Heft in eigen handen

hellOO is blij dat ze samen met DearBytes het lek hebben kunnen vinden en laten dichten. Dankzij de intensieve samenwerking is een wereldwijd lek voor verschillende smartwatches opgelost. "Wij hebben veiligheid en privacy hoog in het vaandel staan en waarderen het dan ook enorm als anderen hieraan bijdragen", zegt Maurice Andersen, woordvoerder van het bedrijf. "Voor onze nieuwe generatie wearables en andere connected IoT-apparaten nemen we het heft in eigen handen en werken wij samen met SafetyTracer, een Nederlands medisch gevalideerd platform. Voor zowel de oude als de nieuwe producten zullen we door het uitvoeren van regelmatige tests de veiligheid blijven waarborgen."

Grote risico's

Het Internet of Things biedt haast oneindige mogelijkheden, maar brengt ook risico's met zich mee. Deze kwetsbaarheid toont dat maar weer eens aan. DearBytes raadt dan ook aan stil te staan bij deze risico's. "Je moet als consument of bedrijf altijd nagaan welke informatie een connected apparaat verzamelt. Stel je voor dat die data ooit op straat komen te liggen. Vraag jezelf dan af of de voordelen opwegen tegen het risico, en of je bereid bent het risico te accepteren. Is dat niet het geval, dan moet je er simpelweg geen gebruik van maken", besluit Neelen.

Transparantie

Volgens Erik Remmelzwaal, Managing Director bij DearBytes, staat het aangetroffen lek niet op zichzelf. "Vrijwel ieder IoT-apparaat dat we bij DearBytes testen, blijkt kwetsbaar te zijn. Het is daarom goed en noodzakelijk dat onze overheid werkt aan regelgeving om de digitale veiligheid van producten te garanderen. Helaas laat de nieuwe wetgeving nog wel even op zich wachten, dus moeten we voorkomen dat er calamiteiten ontstaan. Wij hopen dan ook dat we met dit soort onderzoeken fabrikanten stimuleren om security een belangrijk onderdeel van het ontwikkelproces te maken en een product te laten pentesten voordat het op de markt wordt gebracht. Consumenten kunnen een gedegen security en privacy ook stimuleren door het aannemen van een kritische houding in het aankoopproces."