Les failles du cloud exposent des millions de montres connectées pour le suivi des enfants – TechCrunch

Les parents achètent à leurs enfants des montres connectées avec GPS pour les suivre, mais les failles de sécurité signifient qu'ils ne sont pas les seuls à pouvoir le faire.

Cette année seulement, les chercheurs ont découvert plusieurs vulnérabilités dans un certain nombre de montres connectées pour le suivi des enfants. Mais de nouvelles découvertes aujourd'hui montrent que presque toutes hébergeaient une faille beaucoup plus grande et plus dommageable dans une plate-forme de cloud partagée commune utilisée pour alimenter des millions de montres connectées cellulaires.

La plateforme cloud est développée par le fabricant d'électronique chinois en marque blanche Thinkrace, l'un des plus grands fabricants d'appareils de localisation. La plate-forme fonctionne comme un système backend pour les appareils conçus par Thinkrace, stockant et récupérant les emplacements et autres données de l'appareil. Non seulement Thinkrace vend ses propres montres de suivi des enfants aux parents qui souhaitent garder un œil sur leurs enfants, mais le fabricant d'électronique vend également ses dispositifs de suivi à des entreprises tierces, qui reconditionnent et rebaptisent ensuite les appareils avec leur propre marque à vendre. aux consommateurs.

Tous les appareils fabriqués ou revendus utilisent la même plateforme cloud, garantissant que tout appareil en marque blanche fabriqué par Thinkrace et vendu par l'un de ses clients est vulnérable.

Ken Munro, fondateur de Pen Test Partners, partagé les résultats exclusivement avec TechCrunch. Leurs recherches ont trouvé au moins 47 millions d'appareils vulnérables.

"Ce n'est que la pointe de l'iceberg", a-t-il déclaré à TechCrunch.

Smartwatches qui fuient les données de localisation

Munro et son équipe ont découvert que Thinkrace fabriquait plus de 360 ​​appareils, principalement des montres et autres trackers. En raison du réétiquetage et de la revente, de nombreux appareils Thinkrace sont marqués différemment

"Souvent, le propriétaire de la marque ne se rend même pas compte que les appareils qu'il vend sont sur une plateforme Thinkrace", a déclaré Munro.

Chaque dispositif de suivi vendu interagit avec la plate-forme cloud soit directement, soit via un point de terminaison hébergé sur un domaine Web exploité par le revendeur. Les chercheurs ont retracé les commandes jusqu'à la plate-forme cloud de Thinkrace, que les chercheurs ont décrite comme un point de défaillance courant.

Les chercheurs ont déclaré que la plupart des commandes qui contrôlent les appareils ne nécessitent pas d'autorisation et que les commandes sont bien documentées, permettant à toute personne possédant des connaissances de base d'accéder à un appareil et de le suivre. Et comme il n'y a pas de randomisation des numéros de compte, les chercheurs ont découvert qu'ils pouvaient accéder à des appareils en masse simplement en augmentant chaque numéro de compte d'un.

Les défauts ne mettent pas seulement les enfants en danger, mais aussi ceux qui utilisent les appareils.

Dans un cas, Thinkrace a fourni 10 000 smartwatches aux athlètes participant aux Special Olympics. Mais les vulnérabilités signifiaient que chaque athlète pouvait faire surveiller son emplacement, selon les chercheurs.

Des enregistrements vocaux d'enfants trouvés exposés

Un fabricant d'appareils a acheté les droits de revendre l'une des montres connectées de Thinkrace. Comme de nombreux autres revendeurs, ce propriétaire de la marque a permis aux parents de suivre la trace de leurs enfants et de sonner l'alarme s'ils quittent une zone géographique définie par le parent.

Les chercheurs ont déclaré qu'ils pouvaient suivre l'emplacement de tout enfant portant l'une de ces montres en énumérant les numéros de compte faciles à deviner.

La smartwatch permet également aux parents et aux enfants de se parler, tout comme un talkie-walkie. Mais les chercheurs ont découvert que les messages vocaux étaient enregistrés et stockés dans le cloud non sécurisé, permettant à quiconque de télécharger des fichiers.

Un enregistrement de la voix d'un enfant à partir d'un serveur vulnérable d'un revendeur de smartwatch. (Nous avons supprimé l'audio pour protéger la vie privée de l'enfant.)

TechCrunch a écouté plusieurs enregistrements choisis au hasard et a pu entendre des enfants parler à leurs parents via l'application.

Les chercheurs ont comparé les résultats à CloudPets, un jouet ressemblant à un ours en peluche connecté à Internet, qui, en 2017, a laissé leurs serveurs cloud sans protection, exposant deux millions d'enregistrements vocaux d'enfants.

Cinq millions d'enfants et de parents utilisent la montre connectée vendue par le revendeur.

Divulgation whack-a-mole

Les chercheurs ont révélé les vulnérabilités à plusieurs fabricants d'électronique en marque blanche en 2015 et 2017, y compris Thinkrace.

Certains revendeurs ont corrigé leurs points de terminaison vulnérables. Dans certains cas, les correctifs mis en place pour protéger les points de terminaison vulnérables ont été annulés par la suite. Mais de nombreuses entreprises ont simplement ignoré les avertissements, ce qui a incité les chercheurs à rendre publiques leurs conclusions.

Rick Tang, porte-parole de Thinkrace, n'a pas répondu à une demande de commentaire.

Munro a déclaré que bien que les vulnérabilités ne soient pas soupçonnées d'avoir été largement exploitées, les fabricants d'appareils comme Thinkrace «doivent s'améliorer» pour construire des systèmes plus sécurisés. Jusque-là, Munro a déclaré que les propriétaires devraient cesser d'utiliser ces appareils.

Traduit de la source : https://techcrunch.com/2019/12/18/cloud-flaws-millions-child-watch-trackers/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.