Relógios inteligentes para crianças têm graves falhas de segurança

Relógios inteligentes para crianças têm graves falhas de segurança

Pesquisadores da Universidade de Cincias Aplicadas de Mnster, na Alemanha, descobriram vulnerabilidades em relgios inteligentes voltados para crianas. Elas podem permitir que um atacante monitore e falsifique a localizao do GPS, intercepte conversas entre pais e filhos, espione o ambiente em que se encontra a criana e assuma o controle do dispositivo.

No relatrio ‘STALK: Security Analysis of Smartwatches for Kids’, foram analisados modelos diferentes das marcas Starlian, JBC, Polywell, ANIO, Pingonaut e Xplora. Os quatro primeiros usam projetos de modelo da empresa chinesa 3G Electronics, que fornece produtos “white label” (etiqueta branca) – eles so renomeados por outras empresas para serem distribudos, por exemplo.

Os modelos de relgios inteligentes usam um carto SIM fsico para permitir a conexo e o compartilhamento de localizao. Os dados so controlados por um aplicativo para smartphone, que se comunica com o servidor e o relgio da criana (e vice-versa).

Foi descoberto que em trs das quatro plataformas de back-end (processos internos) possvel falsificar a localizao. Em duas delas, possvel enviar mensagens falsas de voz para o aplicativo; em outra, possvel assumir todo o controle do relgio e rastrear as vtimas.

Xplora/Divulga

Modelo de relgio inteligente Xplora Go, voltado para pais monitorarem seus filhos, tem falhas de segurana descobertas por pesquisadores. Imagem: Xplora/Divulgao.

Vulnerabilidades

Os pesquisadores tambm apontam que a comunicao e autenticao com o servidor no possui criptografia ou mtodo de autenticao. O back-end das plataformas tambm seria vulnervel ameaa de injeo de SQL, o que pode permitir a um invasor acessar e at modificar os dados privados dos usurios.

“Os resultados do estudo mostram que smartwatches para crianas contm vulnerabilidades crticas que os atacantes, com pouco conhecimento de suas vtimas, podem explorar”, diz a pesquisa.

Em relgios produzidos pela 3G Electronics e ANIO, os dados dos usurios ainda so enviados para servidores fora da Unio Europeia, o que viola as leis da GDPR (Regulao Geral de Proteo de Dados).

Alertadas em abril, as fabricantes consertaram vrios dos problemas relatados. Por outro lado, algumas vulnerabilidades em relgios das marcas ANIO e Pingonaut seguem presentes.

Fonte: Security.nl, ESET

GarotoProdigio

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *