おそらく何百万台もの子供向けGPS追跡ウォッチにセキュリティ上の脆弱性があるため、親は知らないうちに子供たちの安全とプライバシーを危険にさらしている可能性がある。
これらの安っぽい腕時計は幼児が身につけることを想定されており、SIMカードを使って携帯電話ネットワークに接続します。その仕組みは、装着者のGPS位置情報をバックエンドサーバーに送信し、保護者がウェブサイトやアプリを通じて子供たちの居場所を常に把握できるようにするというものです。
これらのデバイスは、保護者からのメッセージを表示したり、電話に出たり、マイクを使って子供の行動を盗聴したり、子供が遊び場などの特定のエリアから外れた場合に警告したりすることもできる。
しかし、英国のセキュリティ企業Pen Test Partnersの調査によると、スマートウォッチと通信するスマートフォンアプリのソフトウェアのコーディングが不十分で、接続が簡単に乗っ取られる可能性があることが明らかになりました。つまり、悪意のある人物がまるで親のように子供たちの行動を盗み見ることができるということです。
調査の発端は、情報セキュリティ担当者の友人が子供のためにMiSafes Kid's Watcherを購入したことでした。本体価格はわずか10ポンドと手軽でした。しかし、実際に使ってみると、驚くほどのセキュリティ上の脆弱性が明らかになりました。どうやら、同じ脆弱なコードが他の多くのGPSウォッチにも再利用されているようです。
「同様の脆弱性を持つ子供用スマートウォッチは100万台以上、おそらく世界中で300万台以上使用されていると考えられます」と、研究者のアラン・モニー氏は火曜日に述べた。「これらは様々なブランドで販売されていますが、いずれも驚くほど類似したAPIを使用しているようです。これは、共通のオリジナルデバイスメーカー、つまりODM(Original Device Manufacturer)が存在することを示唆しています。」
暗号化なし - これは何だ、1990 年代か?
根本的な問題は、アプリとGPSウォッチが通信を暗号化しておらず、事実上すべてのデータを平文で送信しているため、誰でも盗聴したり改ざんしたりできるということです。これには、お子様のプロフィール写真、名前、性別、生年月日、身長、体重などが含まれます。ウォッチはバックエンドサーバーと通信し、そのサーバーは保護者が使用するアプリに情報を渡します。
スマートフォンアプリがバックエンドサーバーに子供の情報を求めるリクエストに含まれるユーザーID番号を傍受して変更するだけで、その子供のデータに完全にアクセスできるようになります。つまり、任意のID番号を使ってAPIリクエストを送信すれば、そのIDの子供の写真、居場所、その他の詳細情報を取得できるのです。IDを好きなように設定すれば、抜け目のない犯罪者にとって、潜在的な被害者のショッピングカタログを作成することができます。
そのため、例えば悪意のある人物や変質者は、このようなデバイスを購入し、Burp Suiteなどのネットワークツールを使ってバックエンド接続を改ざんし、脆弱性を悪用して、一人で遊んでいるかもしれない見知らぬ人の子供の居場所を尋ねることができるのです。また、子供たちにメッセージを送信し、偶然にも彼らの居場所を正確に知っている見知らぬ人から車に乗せてもらうように仕向けることもできるでしょう。
時計は5分ごとに通信するため、子供の位置をほぼリアルタイムで追跡することもできます。
モニーは、このプロセスを自動化する簡単な C# プログラムを作成した後、12,000 台を超える MiSafe ウォッチのアカウントにアクセスし、各子供の写真、名前、その他の前述の個人情報、さらに両親の電話番号とウォッチ自体の電話番号をダウンロードすることができたはずです。
スマートおもちゃがまたもや愚かな弱点を露呈。今回は、ぬいぐるみのクマ、腕時計
続きを読む
子ども用ウォッチに誰でも電話をかけられるのを防ぐため、デバイスには承認済みの電話番号のホワイトリストが搭載されています。しかし、発信者番号は簡単に偽装できるため、親や信頼できる人物を装って電話をかけたりメッセージを送ったりすることが可能です。
時計のリモート盗聴機能を乗っ取って盗聴装置にするのも簡単です。何か異常が起きていることを示す唯一の兆候は、時計の文字盤に表示される「話し中」のサインだけです。
「これらの新たな攻撃ベクトルは、リモートから実行できるだけでなく(IMEIのリモートキャプチャも含む)、攻撃者はすべての子供たちの位置情報の全体像を把握できるようになります」とモニー氏は述べた。「発信者番号のなりすましと組み合わせると、この攻撃は非常に悪質になります。」
ペンテストパートナーと私たち自身によるメーカーへの連絡は失敗しており、これらのデバイスにパッチが適用される可能性は低いと考えられます。保護者の皆様には、アプリを削除し、大型のハンマーやレンガで時計を分解するなど、ご自身でデバイスの安全性を確保することをお勧めします。®
