Smartwatch expõe localização de mais de 5 mil crianças

Brechas no aplicativo permitem que hackers acessem qualquer detalhe sobre a localização das crianças e de seus pais
Redação26/11/2019 13h48, atualizada em 26/11/2019 15h39

20191126105811

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Um smartwatch infantil de US$ 35 (cerca de R$ 150) expôs detalhes pessoais e informações de localização de mais de 5 mil crianças e seus pais. Além da geolocalização, os atacadores ainda podiam emparelhar seus próprios celulares com o smartwatch da criança e verificar a qualquer momento onde elas estavam, iniciar um bate-papo e até mesmo receber notificações de quando elas deixassem determinado lugar.

Em um relatório publicado hoje pela divisão de testes da internet das coisas do AV-TEST, os pesquisadores disseram ter encontrado falhas nas medidas de segurança para proteger o aplicativo móvel e “back-end” do M2 smartwatch, fabricado pela empresa chinesa SMA. A equipe do AV-TEST, testa dispositivos infantis há mais de dois anos e o “SMA-WATCH-M2 supera de longe as falhas de segurança de outros fabricantes”, afirmou o CEO e diretor técnico, Maik Morgenstern.

O relógio foi projetado para funcionar como um aplicativo móvel complementar: os pais registravam uma conta no serviço SMA, emparelhavam o smartwatch de seu filho ao seu telefone para ver a localização, realizar chamadas ou receber notificações quando a criança deixasse uma área designada.

Porém, uma brecha de segurança permite que qualquer pessoa consulte o “back-end” do smartwatch por meio de uma APLI da web. Na teoria, existe um token de autenticação que supostamente impede o acesso não autorizado, mas segundo Morgenstern, os invasores podiam fornecer qualquer token, já que o servidor nunca verificava sua validade.

Por culpa dessa vulnerabilidade no sistema, um invasor pode se conectar a essa API da web, percorrer todas as IDs de usuário e coletar dados de todas as crianças e seus pais. Ao testar a brecha, os pesquisadores da AV-TEST conseguiram acessar mais de 5 mil usuários do smartwatch M2 e mais de 10 mil contas parentais distribuídos pela Europa em países como Holanda, Polônia, Alemanha, Turquia, Espanha e Bélgica. Outras localidades expostas foram: China, Hong Kong e México.

AV-TEST

O mais assustador é que os invasores podiam hackear o aplicativo dos pais e acessar o tipo de dispositivo, IMEI do cartão SIM e até mesmo alterar o ID do usuário sem inserir um endereço de e-mail ou a senha da conta. Essa invasão permite que os hackers emparelhem seus telefones pessoais com os relógios das crianças, e assim, as mapeiem 24 horas por dia e até mesmo conversem com elas. Os atacadores ainda conseguem alterar a senha da conta original e bloquear os responsáveis enquanto fornecem instruções erradas aos filhos.

Resposta

Após a divulgação do relatório, o distribuidor Pearl tirou o M2 de suas prateleiras e a SMA não comentou sobre o assunto. Casos parecidos já aconteceram antes e, em fevereiro deste ano, a UE retirou dois modelos de smartwatches infantis por falhas de segurança semelhantes; em 2017, o BSI proibiu relógios para crianças na Alemanha que viessem com um recurso de escuta remota.

Via: ZDNet

Colaboração para o Olhar Digital

Redação é colaboração para o olhar digital no Olhar Digital