Akıllı saatler, bilgisayar korsanlarının çocukları izlemesine ve izlemesine olanak tanır
Konum izleme işlevlerine sahip çocukların akıllı saatleri giderek daha popüler hale geliyor.Bu, ebeveynlerin çocuklarının hareketlerini her zaman izlemelerinin basit bir yoludur. Ebeveynlerin çocukları için akıllı çocuk saatleri satın alma niyetleri çoğunlukla bir güvenlik duygusu kazanmaktır. Öyleyse, böyle bir saat gerçekten çocuklara güvenlik sağlayabilir mi? Son zamanlarda yapılan bir araştırma, popüler Misafes saatlerindeki güvenlik açıklarının bilgisayar korsanlarının çocukları izlemesine izin verebileceğini ve bunun da sonunda akıllı saat giyen çocukların güvenliğini tehdit edebileceğini buldu.
Misafes'in çocuklara yönelik akıllı saatinin fiyatı 10 Euro'nun altında, SIM kart takıldıktan sonra iki yönlü görüşmeler için cep telefonuna bağlanabilir.Ayrıca ebeveynlerin çocuğun konumunu takip etmesine izin veren bir uygulama ile birlikte gelir.
Pen Test Partners'daki araştırmacılar, saatteki boşlukların saati gözetmenler ve pedofilleri içeren suçlar için ideal bir araç haline getirebileceğini keşfettiler. Güvenlik açığı, uzaktaki bir bilgisayar korsanının bir çocuk saatinin gerçek zamanlı GPS koordinatlarını almasına izin verebilir. Ayrıca bir saldırganın bir çocuğun saatini aramasına, konuşmalarını gizlice dinlemesine ve ad, yaş ve cinsiyet dahil olmak üzere çocuğun kişisel bilgilerini çalmasına da olanak sağlayabilir.
IDOR saldırıları aracılığıyla araştırmacılar şunları yapabilir:
Çocuk saatlerinin gerçek zamanlı GPS koordinatlarını alın;
Çocuğu ara
Çocuğu izlemek için gizli bir tek yönlü sesli arama oluşturun;
Saat aracılığıyla çocuklara sesli mesajlar gönderin;
Çocukların fotoğraflarının yanı sıra adlarını, doğum tarihlerini, cinsiyetlerini, ağırlıklarını ve boylarını alın.
Araştırmacılar, iOS uygulamasını proxy yapmak için Burp'u kullandılar ve trafiğin şifrelenmediğini buldular. Uygulamaya giriş yapmak için telefon numaraları, şifreler ve çocuklarla ilgili bilgiler gibi kişisel ve hassas bilgileri girmeniz gerekir ve ardından uygulama kişisel verileri, resimleri, isimleri, cinsiyet, doğum tarihi, boy ve kiloları İnternet üzerinden açık metin olarak iletir.
Güvenlik açığı bilgileri
Saati farklı test telefonlarıyla eşleştiren araştırmacılar, çeşitli yetkilendirilmiş ve güvenli olmayan Doğrudan Nesne Referansı (IDOR) saldırılarını denedi.
API tarafından gerçekleştirilen tek kontrol, UID'yi session_token ile eşleştirmektir, bu nedenle get_watch_data_latest işleminde sadece family_id'yi değiştirin (aşağıda gösterildiği gibi) ve saldırgan izleme konumunu ve o aileyle ilişkili cihaz kimliğini görüntüleyebilir.
Akıllı saat, GPS koordinatlarını her beş dakikada bir API'ye günceller, bu nedenle neredeyse gerçek zamanlı konum verileri olur. Bu bilgilerle, family_ids içinde gezinmek ve tüm çocukların konumunu ve cihaz kimliğini kurtarmak kolaydır. Kimlikler düzenli görünüyor ve araştırmacılar yaklaşık 12.000 olduğunu tahmin ediyor. Bu araştırmayı yaparken yüzlerce kişi kayıt oldu.
Araştırmacılar, hedef akıllı saatin gerçek zamanlı olarak izlenebilmesi için C # dilinde bir kavram kanıtı uygulaması yazmaya karar verdiler. Açık yasal nedenlerden ötürü, araştırmacı başka hiçbir saat verilerine erişmedi, ancak kalbi kötü bir kişiyse, böyle bir gerçek zamanlı harita oluşturmak çok kolay:
API ayrıca önceki konumları da takip eder, böylece her konumu kaydedebilir ve çocuğun her gün izlediği rotayı görüntüleyebilir ve ardından çocuğun konumunu tahmin edebilir.
Saat bilgisi işlemindeki device_id parametresi de IDOR saldırılarına karşı savunmasızdır. İsteği gönderdikten sonra çocuğun telefon numarası, şifreleme anahtarı ve saat IMEI numarası iade edilecektir:
Son olarak, get_group_list işleminde family_id'i aldatarak ebeveynin telefon numarasını alabilirsiniz:
Çocuğunuzu saat aracılığıyla arayın
Bu saat, yabancıların çocukları aramasını gerçekten engelleyebilir.İçinde, saatin aradığı ve aldığı yetkili telefon numaralarını kontrol edebilen bir beyaz liste vardır. Sorun, arayan kimliğinin sahte olabilmesidir. Bu nedenle, kavramın bir kanıtı olarak araştırmacılar, test saatini başarıyla aldatmak için crazycall.net'i kullandılar.
Saldırgan, API'deki verileri kullanarak çocukların ve ebeveynlerin telefon numaralarını alabilir ve saati arayabilir. Aşağıdaki resimde gösterildiği gibi çocuk babanın aradığını düşünecektir. Böyle bir telefon olursa çocuklar telefondaki talepleri takip edecek mi? VoIP tabanlı PBX, Kid Tracker hileli uygulamasında da kullanılabilir. Kurun, tıklayın ve herhangi bir çocuğu arayabilirsiniz.
Çocuklar hakkında sesli casusluk
Uygulama aynı zamanda çocukların saatle etkileşime girmesine gerek kalmadan saatin uzaktan izleme cihazına dönüştürülmesine de izin veriyor. Açık etik kuralları ve çocukların mahremiyet sorunlarını bir kenara bırakırsak, saat güvenli mi? Tabii ki güvenli değil!
API'deki activ_monitor_mode'a geçerli cihaz kimliğini iletin; bu, saatin beyaz listeden gelen tüm çağrıları otomatik olarak yanıtlamasını sağlar. Daha önce olduğu gibi, aldatıcı arayan kimliği, herkesin çocuğu uzaktan izlemesine izin verecektir. Saat evde bırakılırsa, internetteki herkes için uzaktan izleme cihazı haline gelir.
İzleme modunu etkinleştirin:
İzleme modu:
Çağrı otomatik olarak yanıtlar, saat kısa bir süre "Meşgul" gösterir ve ardından ekran kararır. Saat çalmadı, bu yüzden kimse kimin dinlediğini ve nerede dinlediğini bilmiyordu.
Milyonlarca çocuğu takip mi ediyorsunuz?
Araştırmacılar, mobil uygulama indirme istatistiklerine, yayınlanmış satış istatistiklerine ve API'ler tarafından verilen yeni cihaz kimliklerine dayanarak, benzer güvenlik açıklarına sahip bir milyondan fazla saatin kullanımda olduğuna ve dünya genelinde 3 milyondan fazla olabileceğine inanıyor. Pek çok akıllı çocuk saati markası vardır, ancak tüm markalar çok benzer API'ler kullanıyor gibi görünüyor, bu da hepsinin aynı orijinal ekipman üreticisinden veya ODM'den geldiğini gösteriyor.
Ülkenin şu anda çocuk güvenlik saatleri gibi akıllı giyilebilir cihazlar için birleşik bir standarda sahip olmadığı anlaşılmaktadır.Bu tür ürünlerin kalitesi bilgi güvenliği açısından farklılık göstermektedir. Güvenlik başlığı altındaki saatler çocukları daha güvensiz hale getirebilir.
Orijinal makale, yazar: Gump, http: //www.mottoin.com/news/131796.html adresinden yeniden üretilmiştir.
