8.4 | 1920 recenzja
8.4 | 1920 recenzja
0

Niebezpieczny zegarek GPS dla dzieci

Oto, na co warto zwrócić uwagę przy zakupie zegarka GPS dla dzieci

Zegarki GPS dla dzieci są popularne. Chęć wiedzy o tym, gdzie jest dziecko, i możliwość pozostawania z nim w kontakcie to powody, dla których warto kupić taki produkt. Coraz częściej czytamy negatywne opinie na temat bezpieczeństwa zegarków GPS dla dzieci. „To szkoda, bo to stwarza mylny obraz całej grupy produktów. Korzystanie z zegarków GPS dla dzieci jest bezpieczne, ale konsument musi wiedzieć, które produkty są bezpieczne” – mówi Sander de Potter, CEO firmy Spotter®.

Uniwersytet Nauk Stosowanych w Münster przeprowadził badania

Na początku tego roku organizacja konsumencka opublikowała badanie dotyczące zegarków GPS, które korzystają z aplikacji SE Tracker i przez to nie są bezpieczne. W kwietniu 2020 roku Uniwersytet Nauk Stosowanych w Münsterze w Niemczech przeprowadził badanie dotyczące bezpieczeństwa zegarków GPS dla dzieci i opublikował je w raporcie badawczym „STALK: Security Analysis of Smartwatches for Kids”. Z raportu wynika, że niektórzy producenci sprzedają niebezpieczne zegarki GPS dla dzieci. W tym artykule omówimy te luki w zabezpieczeniach i wyjaśnimy, jak radzi sobie z nimi dostawca GPS Spotter®. Zegarki GPS marki Spotter® są całkowicie bezpieczne i nie korzystają z usług poniższych producentów, co wyjaśnimy bardziej szczegółowo w tym artykule.

Na czym polegały badania?

W ramach badania „STALK” sprawdzono sześć zegarków GPS różnych marek. Były to: StarlianTracker GM11, Polywell S12, JBC Kleiner Abenteurer, Pingonaut Panda2, ANIO4 Touch oraz XPLORA GO. Okazało się, że producenci JBC, Polywell, ANIO i Starlian używają praktycznie tego samego modelu, pochodzącego od chińskiej firmy elektronicznej 3G Electronics, która oferuje te smartwatche jako produkty pod własną marką.

Co było przedmiotem badania?

Badanie skupiało się na komunikacji między smartwatchami a systemem zaplecza dostawcy. A także na interakcji między aplikacją smartphone rodziców a systemem zaplecza dostawcy. Ta interakcja odbywa się przez połączenie internetowe smartfona.

Wykryto luki w zabezpieczeniach

W trakcie badania ujawniono kilka luk w zabezpieczeniach.

Przejęcie zaplecza

    \

  • W przypadku trzech z czterech platform backendowych można było „sfałszować” lokalizację zegarka GPS. Dzięki temu rodzice mogą myśleć, że dziecko jest w innym miejscu niż w rzeczywistości.

    • \

  • W przypadku dwóch platform można „sfałszować” wiadomości głosowe wysyłane z zegarka GPS do aplikacji smartphone.

    • \

  • A jedną platformę backendową można było nawet przejąć w całości, co pozwalało na śledzenie osób noszących zegarek.

Backendu zegarków GPS Spotter® nie da się przejąć w żaden sposób. Autoryzacja odbywa się na podstawie unikalnej nazwy użytkownika i hasła. Działa to tak samo na wszystkich punktach końcowych w aplikacji. Dane te są przesyłane przez bezpieczne połączenie SSL, więc nie ma do nich dostępu.

Komunikacja bez szyfrowania i uwierzytelniania

    \

  • Smartwatche korzystające z platformy 3G komunikują się bez szyfrowania i uwierzytelniania z serwerem, który przesyła informacje do i z aplikacji smartphone rodziców.

    • \

  • Okazało się też, że serwer backendowy jest podatny na ataki typu SQL injection, co oznacza, że haker mógłby uzyskać dostęp do prywatnych danych użytkowników. Serwer backendowy ANIO wymaga od użytkowników logowania. Jednak gdy użytkownik jest zalogowany, może łatwo zobaczyć dane innych użytkowników, zmieniając swój identyfikator użytkownika. Okazuje się, że identyfikatory te są przyznawane kolejno, co ułatwia znalezienie innych użytkowników.

W serwisie Spotter:

    \

  • Cała komunikacja Spotter® jest szyfrowana i autoryzowana. Do całej komunikacji między lokalizatorem GPS Spotter® a platformą (GSM) używane jest bezpieczne połączenie VPN.

    • \

  • W Spotter® nie można też sprawdzić identyfikatorów z innego konta, bo na platformie Spotter mamy zabezpieczenia na poziomie konta. To znaczy, że nie da się pobrać danych, które nie są częścią Twojego konta, a atak typu SQL injection też nie jest możliwy.

Przesyłanie danych na serwery poza UE

Kolejnym problemem, na który natrafili badacze, jest to, że 3G i ANIO wysyłają dane użytkowników z UE na serwery poza UE, nie informując o tym. Tym samym firmy te naruszają przepisy RODO.

Spotter® korzysta z serwerów w UE i dzięki temu spełnia wymogi przepisów RODO. Poza tym dane nie są udostępniane osobom trzecim w celach komercyjnych. 

 

Niebezpieczne lokalizatory GPS

Według raportu badawczego „STALK: Security Analysis of Smartwatches for Kids” zegarki z GPS tych producentów są niebezpieczne:

    \

  1. Producent 3G Electronics

    2. \

  2. Producent Pingonaut Panda2

    3. \

  3. Producent ANIO4 TOUCH

    4. \

  4. Producent XPLORA Go

\n\n \n\nW kwietniu 2020 roku poinformowaliśmy tych producentów o wynikach raportu z badania. Niektóre problemy zostały już rozwiązane, ale kilka luk w zabezpieczeniach nadal istnieje.

Spotter® oferuje bezpieczne lokalizatory GPS dla dzieci

Zegarki GPS dla dzieci marki Spotter® są całkowicie bezpieczne w użyciu. Produkty posiadają oznaczenie CE, co oznacza, że spełniają wymogi bezpieczeństwa określone we wszystkich dyrektywach europejskich. Ponadto stosujemy najwyższe standardy bezpieczeństwa danych, aby zapewnić ich bezpieczne przetwarzanie. Dzięki temu prywatność użytkownika jest w pełni zagwarantowana. Dowiedz się więcej o bezpieczeństwie i prywatności Spotter®. Źródła:FH MÜNSTER University of Applied SciencesConsumentenbond Security.nl