8.4 | 1920 recensione
8.4 | 1920 recensione
0

Orologio GPS non sicuro per bambini

Ecco a cosa devi prestare attenzione quando acquisti un orologio GPS per bambini

Gli orologi GPS per bambini sono molto popolari. Sapere dove si trova il bambino e poter rimanere in contatto sono i motivi per cui si acquista un prodotto del genere. Si leggono sempre più spesso notizie negative sulla sicurezza degli orologi GPS per bambini. “È un peccato perché questo dà un’immagine sbagliata dell’intero gruppo di prodotti. L’uso degli orologi GPS per bambini è sicuro, ma il consumatore deve sapere quali prodotti sono sicuri”, afferma Sander de Potter, CEO di Spotter®.

L'Università di Scienze Applicate di Münster ha condotto una ricerca

All’inizio di quest’anno, l’associazione dei consumatori ha pubblicato uno studio sugli orologi GPS che utilizzano l’app SE Tracker e che, di conseguenza, non sono sicuri. Nell’aprile 2020, l’Università di Scienze Applicate di Münster, in Germania, ha condotto una ricerca sulla sicurezza degli orologi GPS per bambini e l’ha pubblicata nel rapporto di ricerca “STALK: Security Analysis of Smartwatches for Kids”. Da questo emerge che alcuni produttori vendono orologi GPS per bambini non sicuri. In questo articolo parliamo di queste falle di sicurezza e spieghiamo come il fornitore di GPS Spotter® le affronta.Gli orologi GPS del marchio Spotter® sono completamente sicuri e non utilizzano\\nii produttori indicati di seguito, come spiegato più nel dettaglio in questo articolo.

Su cosa verteva la ricerca?

Nello studio “STALK” sono stati esaminati sei orologi GPS di marche diverse. Si trattava dello StarlianTracker GM11, del Polywell S12, del JBC Kleiner Abenteurer, del Pingonaut Panda2, dell’ANIO4 Touch e dell’XPLORA GO. I produttori JBC, Polywell, ANIO e Starlian hanno utilizzato praticamente lo stesso modello, proveniente dall’azienda cinese di elettronica 3G Electronics che offre gli smartwatch come prodotti white label.

Cosa è stato studiato?

La ricerca si è concentrata sulla comunicazione tra gli smartwatch e il backend del fornitore, nonché sull’interazione tra l’app per smartphone dei genitori e il backend del fornitore. Questa interazione avviene tramite la connessione Internet dello smartphone.

Sono state individuate delle falle nella sicurezza

Durante l’indagine sono emerse diverse falle nella sicurezza.

Acquisizione del backend

    \

  • Su tre delle quattro piattaforme di backend era possibile “falsificare” la posizione dell’orologio GPS. Questo può indurre i genitori a credere che il bambino si trovi in un luogo diverso da quello in cui si trova realmente.

    • \

  • Su due delle piattaforme è possibile “falsificare” i messaggi vocali dall’orologio GPS all’app per smartphone.

    • \

  • E una piattaforma backend poteva addirittura essere completamente presa in carico, rendendo possibile seguire le persone che indossavano l’orologio.

Il backend degli orologi GPS Spotter® non può essere compromesso in alcun modo. L’autorizzazione avviene tramite un nome utente e una password unici. Questo vale anche per tutti gli endpoint nell’app. Questi dati vengono caricati su una linea SSL protetta e non sono quindi accessibili.

Comunicare senza crittografia e autenticazione

    \

  • Gli smartwatch che utilizzano la piattaforma 3G comunicano senza crittografia e autenticazione con il server che trasmette le informazioni da e verso l’app per smartphone dei genitori.

    • \

  • Inoltre, il server backend si è rivelato vulnerabile agli attacchi SQL injection, il che significa che un hacker potrebbe accedere ai dati privati degli utenti. Il server backend di ANIO richiede agli utenti di effettuare il login. Tuttavia, una volta effettuato l’accesso, l’utente può facilmente visualizzare i dati di altri utenti modificando il proprio ID utente. Questi ID risultano essere incrementali, il che rende facile individuare altri utenti.

Su Spotter:

    \

  • Tutte le comunicazioni di Spotter® sono criptate e autorizzate. Per tutte le comunicazioni tra il tracker GPS Spotter® e la piattaforma (GSM) viene utilizzata una connessione VPN sicura.

    • \

  • Su Spotter® non è possibile richiedere gli ID da un altro account grazie alla sicurezza a livello di account sulla piattaforma Spotter. Questo significa che non si possono recuperare dati che non fanno parte del proprio account cliente e che non è possibile nemmeno l’SQL injection.

Invio di dati a server al di fuori dell’UE

Un altro problema riscontrato dai ricercatori è che 3G e ANIO inviano i dati degli utenti dell’UE a server al di fuori dell’UE, senza farlo sapere. In questo modo, le aziende violano il GDPR.

Spotter® utilizza server all’interno dell’UE e rispetta quindi la normativa GDPR. Inoltre, i dati non vengono messi a disposizione di terzi per scopi commerciali. 

 

Tracker GPS non sicuro

Secondo il rapporto di ricerca “STALK: Security Analysis of Smartwatches for Kids”, gli orologi GPS di questi produttori non sono sicuri:

    \

  1. Produttore 3G Electronics

    2. \

  2. Produttore Pingonaut Panda2

    3. \

  3. Produttore ANIO4 TOUCH

    4. \

  4. Produttore XPLORA Go

\n\n \n\nNell’aprile 2020 questi produttori sono stati informati dei risultati del rapporto di indagine. Alcuni problemi sono stati risolti, ma alcune vulnerabilità sono ancora presenti.

Spotter® offre tracker GPS sicuri per bambini

Gli orologi GPS per bambini di Spotter® sono completamente sicuri da usare. I prodotti sono dotati del marchio CE, il che significa che soddisfano i requisiti di sicurezza previsti da tutte le direttive europee. Inoltre, per garantire un trattamento sicuro dei dati, vengono applicati i più elevati standard di protezione dei dati. La privacy dell’utente è quindi pienamente garantita. Scopri di più sulla sicurezza e la privacy di Spotter® qui. Fonti:FH MÜNSTER University of Applied SciencesConsumentenbond Security.nl