Benchmarks Brawte nfaq 0 Comments

怪しいセキュリティで非難されてから1年後、GPS子供追跡ビジネスは、家族の個人情報を犯罪者に漏らしたとして再び非難を浴びている。

Table of Contents

怪しいセキュリティで非難されてから1年後、GPS子供追跡ビジネスは、家族の個人情報を犯罪者に漏らしたとして再び非難を浴びている。

今週、子供を追跡できるスマートウォッチのメーカーが、その技術において数年で2度目の重大なセキュリティ欠陥が発覚し、非難を浴びている。

2017年後半、ノルウェーの研究者たちは、Gatorブランドのウェアラブルデバイスを含む様々な子供向け監視機器を厳しく批判しました。研究者たちは、これらのデバイスが遠隔操作で簡単に乗っ取られる可能性があると指摘しました。これらの機器は、基本的に携帯電話回線に接続されたスマートウォッチで、子供が装着することで、親が遠くから子供の様子を見守り、居場所を追跡したり、内蔵マイクで盗聴したり、連絡を取ったりできるのです。

それから約1年が経ち、英国の情報セキュリティ企業Pen Test Partnersは、これらのガジェットのセキュリティを調査し、防御策が強化されているかどうかを調査することにしました。チームは、家族が子供のGatorウォッチを監視するために使用しているウェブポータルに、悪用される可能性のある深刻なバグがあることを発見しました。

ログインした保護者は、ユーザー制御パラメータでアクセスレベルを指定し、アカウントを管理者レベルにアップグレードできます。これは、ストーカー、犯罪者、その他の悪意ある人物によって悪用され、最大3万人の顧客を盗聴し、連絡先情報を入手し、子供の居場所を特定・追跡される可能性があります。

「これは、攻撃者がすべてのアカウント情報とすべての時計情報に完全にアクセスできることを意味します」と、Pen Test Partners の Vangelis Stykas 氏は今週初めに説明した。

「彼らはシステムのユーザー全員と、システム上のあらゆるデバイス、そしてその位置情報まで閲覧できました。あらゆる操作に加え、ユーザーのメールアドレスやパスワードを変更してウォッチをロックすることさえ可能でした。」

彼は次のように説明した。「Gatorのウェブバックエンドはユーザーレベルをパラメータとして渡していました。その値を別の数値に変更すると、プラットフォーム全体にスーパー管理者権限が付与されてしまいました。システムは、ユーザーが管理者権限を取得するための適切な権限を持っているかどうかを検証できませんでした。」

子供

最大300万台の子供用GPSウォッチが親や悪意のある人物によって追跡可能:欠陥により、変質者向けの選り抜きカタログが流出

続きを読む

攻撃者は、特定のスマートウォッチのメールアドレスとパスワードを変更し、被害者をデバイスから締め出すことも可能です。研究者は、他の子供監視スマートウォッチブランドもGatorと同じWebバックエンドを共有している可能性が高いため、他のデバイスも同様の攻撃を受ける可能性があると指摘しています。

Gatorブランドを所有し、脆弱なウェブポータルを構築したTechSixtyFourは、Pen Test Partnersが1月にプログラミングの失敗を報告した数日後に欠陥を修正したが、スティカス氏はこのビジネスと、彼が「大惨事」と表現した状況を批判した。

Pen Test Partnersは1月11日、英国に拠点を置くTechSixtyFourに警告を発し、脆弱性が広範囲に及んでいることを理由に1か月以内に修正するよう要請しました。TechSixtyFourは2か月の猶予を求めましたが、却下されました。Stykas氏によると、当初、メーカーは脆弱性への対処を試みましたが、最終的にはHTTP 502エラーで研究者のアカウントをブロックする事態に至りました。最終的に、1月16日までに修正が行われました。

TechSixtyFourの創設者コリーン・ウォン氏は、同社のセキュリティ問題への対応を擁護し、機器メーカーは完全な脆弱性開示ポリシーを維持しており、2017年以来毎年侵入テストを受けていると述べた。

「ペンテストパートナーズのケン・マンロー氏がこの脆弱性を開示してくれたことに感謝します。私たちのチームはこれを真剣に受け止め、48時間以内に修正を完了しました。ログの内部調査では、誰かがこの欠陥を悪意ある目的で悪用した形跡は見られませんでした」とウォン氏は金曜日、ザ・レジスター紙への声明で述べた。

彼女はさらに、TechSixtyFourのエンジニアが「12時間以内に部分的な修正を実施しました。その後、根本原因を特定し、通知から48時間以内に完全な修正を導入しました」と付け加えた。

GPSウォッチのセキュリティが不十分だと非難されているのは、TechSixtyFourだけではない。昨年11月、Pen Test Partnersは複数のベンダーが安全でない通信方式を使用していることを発見した。Stykas氏は、スマートウォッチメーカーがすぐにセキュリティを改善するとは考えていない。

「より広い視点で見ると、GPSウォッチ市場は自社製品が適切にテストされていることを確認する必要があります。問題は、これらのデバイスの価格が低すぎるため、セキュリティ対策にかかる費用を賄えるだけの収益がほとんどないことです」とスティカス氏は述べた。

「このような機能を備えた時計は避けた方が良いでしょう。リスクを軽減するどころか、むしろ高めてしまうのです。」®

Benchmarks

Smart Recommendations

Discover More