Relógios inteligentes para crianças têm graves falhas de segurança

Dentre as possibilidades, falhas podem permitir que um atacante monitore e falsifique a localização do GPS e intercepte conversas entre pais e filhos
Wellington Arruda28/09/2020 18h13, atualizada em 28/09/2020 18h41

20200928032733-1920x1080

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Pesquisadores da Universidade de Ciências Aplicadas de Münster, na Alemanha, descobriram vulnerabilidades em relógios inteligentes voltados para crianças. Elas podem permitir que um atacante monitore e falsifique a localização do GPS, intercepte conversas entre pais e filhos, espione o ambiente em que se encontra a criança e assuma o controle do dispositivo.

No relatório ‘STALK: Security Analysis of Smartwatches for Kids’, foram analisados modelos diferentes das marcas Starlian, JBC, Polywell, ANIO, Pingonaut e Xplora. Os quatro primeiros usam projetos de modelo da empresa chinesa 3G Electronics, que fornece produtos “white label” (etiqueta branca) – eles são renomeados por outras empresas para serem distribuídos, por exemplo.

Os modelos de relógios inteligentes usam um cartão SIM físico para permitir a conexão e o compartilhamento de localização. Os dados são controlados por um aplicativo para smartphone, que se comunica com o servidor e o relógio da criança (e vice-versa).

Foi descoberto que em três das quatro plataformas de back-end (processos internos) é possível falsificar a localização. Em duas delas, é possível enviar mensagens falsas de voz para o aplicativo; em outra, é possível assumir todo o controle do relógio e rastrear as vítimas.

Xplora/Divulgação

Modelo de relógio inteligente Xplora Go, voltado para pais monitorarem seus filhos, tem falhas de segurança descobertas por pesquisadores. Imagem: Xplora/Divulgação.

Vulnerabilidades

Os pesquisadores também apontam que a comunicação e autenticação com o servidor não possui criptografia ou método de autenticação. O back-end das plataformas também seria vulnerável à ameaça de injeção de SQL, o que pode permitir a um invasor acessar e até modificar os dados privados dos usuários.

“Os resultados do estudo mostram que smartwatches para crianças contêm vulnerabilidades críticas que os atacantes, com pouco conhecimento de suas vítimas, podem explorar”, diz a pesquisa.

Em relógios produzidos pela 3G Electronics e ANIO, os dados dos usuários ainda são enviados para servidores fora da União Europeia, o que viola as leis da GDPR (Regulação Geral de Proteção de Dados).

Alertadas em abril, as fabricantes consertaram vários dos problemas relatados. Por outro lado, algumas vulnerabilidades em relógios das marcas ANIO e Pingonaut seguem presentes.

Fonte: Security.nl, ESET

Wellington Arruda é editor(a) no Olhar Digital