Onveilige GPS horloge voor kinderen
Dit is waar je op moet letten bij de aanschaf van een GPS kinderhorloge
GPS horloges voor kinderen zijn populair. Weten waar het kind is en in contact zijn met elkaar zijn redenen voor de aanschaf van een dergelijk product. Over de veiligheid van GPS horloges voor kinderen lezen we steeds vaker negatieve berichten. “Dat is spijtig omdat dit een verkeerd beeld geeft van de gehele productgroep. Het gebruik van GPS horloges voor kinderen is veilig, alleen moet de consument wel weten welke producten veilig zijn”, aldus Sander de Potter, CEO van Spotter®.
MĂĽnster University of Applied Scienes deed onderzoek
Eerder dit jaar publiceerde de consumentenbond een onderzoek over GPS horloges die gebruik maken van de app SE tracker en daardoor niet veilig zijn. In april 2020 deed Münster University of Applied Sciences uit Duitsland onderzoek naar de veiligheid van GPS horloges voor kinderen en publiceerde dit in onderzoeksrapport “STALK: Security Analysis of Smartwatches for Kids”. Hieruit blijkt dat een aantal fabrikanten onveilige GPS horloges voor kinderen verkopen. In dit artikel bespreken we deze veiligheidslekken en lichten we toe hoe GPS-leverancier Spotter® hiermee omgaat.
van onderstaande fabrikanten wat nader in dit artikel wordt toegelicht.
Waar is onderzoek naar gedaan?
In het onderzoek “STALK” zijn zes GPS horloges van verschillende merken onderzocht. Het ging om de StarlianTracker GM11, de Polywell S12, de JBC Kleiner Abenteurer, de Pingonaut Panda2, de ANIO4 Touch en de XPLORA GO. Fabrikanten JBC, Polywell, ANIO en Starlian bleken nagenoeg hetzelfde model te gebruiken, afkomstig van het Chinese elektronicabedrijf 3G Electronics dat de smartwatches als whitelabel aanbiedt.
Wat is er onderzocht?
Het onderzoek richtte zich op de communicatie tussen de smartwatches en de backend van de leverancier. En de interactie tussen de smartphone-app van de ouders en de backend van de leverancier. Deze interactie vindt plaats via de internetverbinding van de smartphone.
Beveiligingslekken gevonden
Tijdens het onderzoek zijn een aantal beveiligingslekken naar voren gekomen.
Overname van de backend
- Bij drie van de vier backend-platformen was de locatie van het GPS horloge te “spoofen”. Hierdoor kunnen ouders denken dat het kind zich op een andere locatie bevindt dan het werkelijk is.
- Bij twee van de platformen is het mogelijk om voiceberichten van het GPS horloge naar de smartphone app te “spoofen”.
- En Ă©Ă©n backend-platform kon zelfs in zijn geheel worden overgenomen waardoor het mogelijk was om personen met het horloge te volgen.
De Backend van de Spotter® GPS horloges is op geen enkele wijze over te nemen. Autorisatie vindt plaats op basis een unieke gebruikersnaam en wachtwoord. Dit is ook op alle endpoints in de app. Deze gegevens worden over een beveiligde SSL-lijn geladen en zijn hierdoor niet toegankelijk.
Communiceren zonder encryptie en authenticatie
- Smartwatches die van het 3G-platform gebruikmaken communiceren zonder encryptie en authenticatie met de server die informatie van en naar de smartphone-app van de ouders doorstuurt.
- De backend-server bleek daarnaast kwetsbaar voor SQL-injection, waardoor een aanvaller toegang tot privĂ©gegevens van gebruikers zou kunnen krijgen. De backendserver van ANIO vereist dat gebruikers wel inloggen. Wanneer de gebruiker echter is ingelogd kan die eenvoudig de gegevens van andere gebruikers zien door zijn user-ID aan te passen. Deze id’s blijken incrementeel te zijn, wat het makkelijk maakt om andere gebruikers te vinden.
Bij Spotter:
- Alle communicatie van Spotter® is encrypted en geautoriseerd. Er wordt gebruik gemaakt van een beveiligde VPN-verbinding voor alle communicatie tussen de Spotter® GPS tracker en het platform (GSM).
- ID’s vanuit een ander account zijn bij Spotter® ook niet op te vragen door de beveiliging op accountniveau op het Spotter platform. Dit betekent dat er geen gegevens opgevraagd kunnen worden die geen onderdeel zijn van het eigen klantaccount en SQL injection is ook niet mogelijk.
Data versturen naar servers buiten de EU
Een ander probleem dat de onderzoekers aantroffen is dat 3G en ANIO data van EU-gebruikers naar servers buiten de EU sturen, zonder dit te vermelden. Hiermee zijn de bedrijven in overtreding van de AVG.
Spotter® maakt gebruik van servers binnen de EU en voldoet hiermee aan de AVG wetgeving. Daarnaast wordt data niet beschikbaar gesteld aan derden voor commerciële doeleinden.
Onveilige GPS trackers
Volgens onderzoeksrapport “STALK: Security Analysis of Smartwatches for Kids” zijn GPS horloges van deze fabrikanten onveilig:
- Fabrikant 3G Electronics
- Fabrikant Pingonaut Panda2
- Fabrikant ANIO4 TOUCH
- Fabrikant XPLORA Go
In april 2020 zijn deze fabrikanten op de hoogte gesteld van de uitkomsten uit het onderzoeksrapport. Sommige problemen zijn verholpen, een aantal kwetsbaarheden zijn nog steeds aanwezig.
Spotter® heeft veilige GPS tracker voor kinderen
De GPS Kinderhorloges van Spotter® zijn volledig veilig in gebruik. De producten zijn voorzien van CE-markering, wat betekent dat deze voldoen aan de veiligheidseisen die worden opgelegd door alle Europese Richtlijnen. Daarnaast wordt de hoogste norm van databeveiliging gehanteerd voor een veilige gegevensverwerking. De privacy van de gebruiker is hierdoor volledig gewaarborgd. Lees hier meer over de beveiliging en privacy van Spotter®.
Bronnen:
FH MĂśNSTER University of Applied Scienes
ConsumentenbondÂ
Security.nl
