8.4 | 1920 reseña
8.4 | 1920 reseña
0

Reloj GPS para niños poco seguro

Esto es lo que debes tener en cuenta a la hora de comprar un reloj GPS para niños

Los relojes GPS para niños están de moda. Saber dónde está el niño y estar en contacto con él son razones para comprar un producto de este tipo. Cada vez leemos más noticias negativas sobre la seguridad de los relojes GPS para niños. «Es una pena, porque esto da una imagen errónea de todo el grupo de productos. El uso de relojes GPS para niños es seguro, pero el consumidor debe saber qué productos son seguros», afirma Sander de Potter, director general de Spotter®.

La Universidad de Ciencias Aplicadas de Münster llevó a cabo una investigación

A principios de este año, la Asociación de Consumidores publicó un estudio sobre los relojes GPS que utilizan la aplicación SE Tracker y que, por ello, no son seguros. En abril de 2020, la Universidad de Ciencias Aplicadas de Münster, en Alemania, investigó la seguridad de los relojes GPS para niños y publicó los resultados en el informe de investigación «STALK: Security Analysis of Smartwatches for Kids». De ahí se desprende que varios fabricantes venden relojes GPS para niños que no son seguros. En este artículo hablamos de estas brechas de seguridad y explicamos cómo las aborda el proveedor de GPS Spotter®.Los relojes GPS de la marca Spotter® son totalmente seguros y no utilizanlos fabricantes que se mencionan a continuación, tal y como se explica con más detalle en este artículo.

¿Sobre qué se ha investigado?

En el estudio «STALK» se analizaron seis relojes GPS de diferentes marcas. Se trataba del StarlianTracker GM11, el Polywell S12, el JBC Kleiner Abenteurer, el Pingonaut Panda2, el ANIO4 Touch y el XPLORA GO. Resultó que los fabricantes JBC, Polywell, ANIO y Starlian usaban prácticamente el mismo modelo, procedente de la empresa china de electrónica 3G Electronics, que ofrece los relojes inteligentes como marca blanca.

¿Qué se ha investigado?

La investigación se centró en la comunicación entre los relojes inteligentes y el servidor del proveedor, así como en la interacción entre la aplicación para smartphone de los padres y el servidor del proveedor. Esta interacción se lleva a cabo a través de la conexión a Internet del smartphone.

Se han detectado fallos de seguridad

Durante la investigación se han detectado varias brechas de seguridad.

Adquisición del backend

    \

  • En tres de las cuatro plataformas de backend se podía «falsificar» la ubicación del reloj GPS. Esto puede hacer que los padres piensen que el niño está en una ubicación distinta a la que realmente está.

    • \

  • En dos de las plataformas es posible «falsificar» los mensajes de voz del reloj GPS que se envían a la aplicación para smartphone.

    • \

  • Y una plataforma de backend incluso se podía tomar el control por completo, lo que permitía seguir a las personas que llevaban el reloj.

El backend de los relojes GPS Spotter® no se puede tomar el control de ninguna manera. La autorización se realiza mediante un nombre de usuario y una contraseña únicos. Esto también se aplica a todos los puntos finales de la app. Estos datos se transmiten a través de una línea SSL segura y, por lo tanto, no son accesibles.

Comunicarse sin cifrado ni autenticación

    \

  • Los relojes inteligentes que usan la plataforma 3G se comunican sin cifrado ni autenticación con el servidor que envía información desde y hacia la aplicación para smartphone de los padres.

    • \

  • Además, se descubrió que el servidor backend era vulnerable a inyecciones SQL, lo que permitiría a un atacante acceder a los datos privados de los usuarios. El servidor backend de ANIO sí que exige que los usuarios inicien sesión. Sin embargo, una vez que el usuario ha iniciado sesión, puede ver fácilmente los datos de otros usuarios modificando su ID de usuario. Estas ID resultan ser incrementales, lo que facilita encontrar a otros usuarios.

En Spotter:

    \

  • Todas las comunicaciones de Spotter® están encriptadas y autorizadas. Se usa una conexión VPN segura para todas las comunicaciones entre el rastreador GPS Spotter® y la plataforma (GSM).

    • \

  • En Spotter® tampoco se pueden consultar los ID de otras cuentas debido a la seguridad a nivel de cuenta en la plataforma Spotter. Esto significa que no se pueden consultar datos que no formen parte de la propia cuenta de cliente y que tampoco es posible realizar inyecciones SQL.

Envío de datos a servidores fuera de la UE

Otro problema que encontraron los investigadores es que 3G y ANIO envían datos de usuarios de la UE a servidores fuera de la UE sin indicarlo. Con esto, las empresas están infringiendo el RGPD.

Spotter® utiliza servidores dentro de la UE y, por lo tanto, cumple con la legislación del RGPD. Además, los datos no se ponen a disposición de terceros con fines comerciales. 

 

Rastreadores GPS poco seguros

Según el informe de investigación «STALK: Security Analysis of Smartwatches for Kids», los relojes con GPS de estos fabricantes no son seguros:

    \

  1. Fabricante 3G Electronics

    2. \

  2. Fabricante Pingonaut Panda2

    3. \

  3. Fabricante ANIO4 TOUCH

    4. \

  4. Fabricante XPLORA Go

\n\n \n\nEn abril de 2020 se informó a estos fabricantes de los resultados del informe de investigación. Se han solucionado algunos problemas, pero aún persisten algunas vulnerabilidades.

Spotter® tiene un rastreador GPS seguro para niños

Los relojes GPS para niños de Spotter® son totalmente seguros. Los productos cuentan con el marcado CE, lo que significa que cumplen con los requisitos de seguridad exigidos por todas las directivas europeas. Además, se aplican los más altos estándares de seguridad de datos para garantizar un tratamiento seguro de la información. De este modo, la privacidad del usuario está totalmente garantizada. Lee aquí más sobre la seguridad y la privacidad de Spotter®. Fuentes:FH MÜNSTER University of Applied SciencesConsumentenbond Security.nl