Um smartwatch infantil de US$ 35 (cerca de R$ 150) expôs detalhes pessoais e informações de localização de mais de 5 mil crianças e seus pais. Além da geolocalização, os atacadores ainda podiam emparelhar seus próprios celulares com o smartwatch da criança e verificar a qualquer momento onde elas estavam, iniciar um bate-papo e até mesmo receber notificações de quando elas deixassem determinado lugar.
Em um relatório publicado hoje pela divisão de testes da internet das coisas do AV-TEST, os pesquisadores disseram ter encontrado falhas nas medidas de segurança para proteger o aplicativo móvel e “back-end” do M2 smartwatch, fabricado pela empresa chinesa SMA. A equipe do AV-TEST, testa dispositivos infantis há mais de dois anos e o “SMA-WATCH-M2 supera de longe as falhas de segurança de outros fabricantes”, afirmou o CEO e diretor técnico, Maik Morgenstern.
O relógio foi projetado para funcionar como um aplicativo móvel complementar: os pais registravam uma conta no serviço SMA, emparelhavam o smartwatch de seu filho ao seu telefone para ver a localização, realizar chamadas ou receber notificações quando a criança deixasse uma área designada.
Porém, uma brecha de segurança permite que qualquer pessoa consulte o “back-end” do smartwatch por meio de uma APLI da web. Na teoria, existe um token de autenticação que supostamente impede o acesso não autorizado, mas segundo Morgenstern, os invasores podiam fornecer qualquer token, já que o servidor nunca verificava sua validade.
Por culpa dessa vulnerabilidade no sistema, um invasor pode se conectar a essa API da web, percorrer todas as IDs de usuário e coletar dados de todas as crianças e seus pais. Ao testar a brecha, os pesquisadores da AV-TEST conseguiram acessar mais de 5 mil usuários do smartwatch M2 e mais de 10 mil contas parentais distribuídos pela Europa em países como Holanda, Polônia, Alemanha, Turquia, Espanha e Bélgica. Outras localidades expostas foram: China, Hong Kong e México.
O mais assustador é que os invasores podiam hackear o aplicativo dos pais e acessar o tipo de dispositivo, IMEI do cartão SIM e até mesmo alterar o ID do usuário sem inserir um endereço de e-mail ou a senha da conta. Essa invasão permite que os hackers emparelhem seus telefones pessoais com os relógios das crianças, e assim, as mapeiem 24 horas por dia e até mesmo conversem com elas. Os atacadores ainda conseguem alterar a senha da conta original e bloquear os responsáveis enquanto fornecem instruções erradas aos filhos.
Resposta
Após a divulgação do relatório, o distribuidor Pearl tirou o M2 de suas prateleiras e a SMA não comentou sobre o assunto. Casos parecidos já aconteceram antes e, em fevereiro deste ano, a UE retirou dois modelos de smartwatches infantis por falhas de segurança semelhantes; em 2017, o BSI proibiu relógios para crianças na Alemanha que viessem com um recurso de escuta remota.
Via: ZDNet