Часы miSafes уязвимы. Будьте осторожны!

Современные часы для детей, которые позволяют родителям контролировать места нахождения их детей, а также двухсторонней связи, набирают все большую популярность. Покупаются для того, чтобы обеспечить детям безопасность, но также могут быть использованы и для злых целей.

Аналитик безопасности Алан Моне из Pen Test Partners, фирмы, занимающейся тестированием сетевой безопасности, обнаружил в наручных часах miSafes для детей серьезные уязвимости.

Часы miSafes — это недорогое устройство (стоят ок. 10 фунтов), оснащенные GPS и модемом GSM. После установки в них SIM-карты, можно общаться с ребенком, передавать ему сообщения, проверить, где в данный момент он находится и получить звоноки SOS. В большинстве имеющихся на рынке наручных часов со схожей функциональностью, установление контроля над ними требует физического доступа к устройству, чтобы узнать номер IMEI. А с часами miSafes иначе. Моне обнаружил, что в случае с этим устройством достаточно взломать удаленный доступ через сотовую сеть.

Уязвимость была обнаружена с помощью Burpa — общий инструмент для тестирования безопасности веб-приложений, который позволяет, в частности, контролировать и анализировать трафик между приложением miSafes и прокси-сервером (proxy) в связи с часами. Оказалось, что передача данных не шифруется и ее легко можно заменить другой информацией (например, номер телефона, размещенной в часы sim-карты, пароль и другие). Такой метод атаки позволяет перехватить номер IMEI (то есть мы точно знаем, к каким часам мы получили несанкционированный доступ и узнать расположение всех часов, подключенных к сети мобильной связи. В сочетании с подменой идентификатора родителя, метод становится серьезной угрозой для безопасности детей. Средства массовой информации (в том числе ВВС) связались с производителем с просьбой о комментарии. До сих пор miSafes не дал ответа.

0

Комментарии


Чтобы оставить комментарий, пожалуйста, авторизируйтесь!