Pesquisadores da Universidade de Ciências Aplicadas de Münster, na Alemanha, descobriram vulnerabilidades em relógios inteligentes voltados para crianças. Elas podem permitir que um atacante monitore e falsifique a localização do GPS, intercepte conversas entre pais e filhos, espione o ambiente em que se encontra a criança e assuma o controle do dispositivo.
No relatório ‘STALK: Security Analysis of Smartwatches for Kids’, foram analisados modelos diferentes das marcas Starlian, JBC, Polywell, ANIO, Pingonaut e Xplora. Os quatro primeiros usam projetos de modelo da empresa chinesa 3G Electronics, que fornece produtos “white label” (etiqueta branca) – eles são renomeados por outras empresas para serem distribuídos, por exemplo.
Os modelos de relógios inteligentes usam um cartão SIM físico para permitir a conexão e o compartilhamento de localização. Os dados são controlados por um aplicativo para smartphone, que se comunica com o servidor e o relógio da criança (e vice-versa).
Foi descoberto que em três das quatro plataformas de back-end (processos internos) é possível falsificar a localização. Em duas delas, é possível enviar mensagens falsas de voz para o aplicativo; em outra, é possível assumir todo o controle do relógio e rastrear as vítimas.
Modelo de relógio inteligente Xplora Go, voltado para pais monitorarem seus filhos, tem falhas de segurança descobertas por pesquisadores. Imagem: Xplora/Divulgação.
Vulnerabilidades
Os pesquisadores também apontam que a comunicação e autenticação com o servidor não possui criptografia ou método de autenticação. O back-end das plataformas também seria vulnerável à ameaça de injeção de SQL, o que pode permitir a um invasor acessar e até modificar os dados privados dos usuários.
“Os resultados do estudo mostram que smartwatches para crianças contêm vulnerabilidades críticas que os atacantes, com pouco conhecimento de suas vítimas, podem explorar”, diz a pesquisa.
Em relógios produzidos pela 3G Electronics e ANIO, os dados dos usuários ainda são enviados para servidores fora da União Europeia, o que viola as leis da GDPR (Regulação Geral de Proteção de Dados).
Alertadas em abril, as fabricantes consertaram vários dos problemas relatados. Por outro lado, algumas vulnerabilidades em relógios das marcas ANIO e Pingonaut seguem presentes.
Fonte: Security.nl, ESET