8.4 | 1920 recension
8.4 | 1920 recension
0

Osäker GPS-klocka för barn

Här är vad du bör tänka på när du köper en GPS-klocka för barn

GPS-klockor för barn är populära. Att veta var barnet befinner sig och kunna hålla kontakten med varandra är skäl till att köpa en sådan produkt. Vi läser allt oftare negativa rapporter om säkerheten hos GPS-klockor för barn. ”Det är synd, eftersom det ger en felaktig bild av hela produktgruppen. Det är säkert att använda GPS-klockor för barn, men konsumenten måste veta vilka produkter som är säkra”, säger Sander de Potter, VD för Spotter®.

Münster University of Applied Sciences genomförde en undersökning

Tidigare i år publicerade konsumentorganisationen Consumentenbond en undersökning om GPS-klockor som använder appen SE Tracker och därför inte är säkra. I april 2020 genomförde Münster University of Applied Sciences i Tyskland en undersökning om säkerheten hos GPS-klockor för barn och publicerade resultaten i forskningsrapporten ”STALK: Security Analysis of Smartwatches for Kids”. Av denna framgår att ett antal tillverkare säljer osäkra GPS-klockor för barn. I denna artikel diskuterar vi dessa säkerhetsbrister och förklarar hur GPS-leverantören Spotter® hanterar detta.GPS-klockorna från märket Spotter® är helt säkra och använder inte\\ntillverkarna nedan, vilket förklaras närmare i denna artikel.

Vad har forskningen handlat om?

I undersökningen ”STALK” granskades sex GPS-klockor av olika märken. Det rörde sig om StarlianTracker GM11, Polywell S12, JBC Kleiner Abenteurer, Pingonaut Panda2, ANIO4 Touch och XPLORA GO. Tillverkarna JBC, Polywell, ANIO och Starlian visade sig använda i stort sett samma modell, som kommer från det kinesiska elektronikföretaget 3G Electronics som erbjuder smartklockorna som vitmärkta produkter.

Vad har undersökts?

Undersökningen fokuserade på kommunikationen mellan smartklockorna och leverantörens backend. Samt på interaktionen mellan föräldrarnas smartphone-app och leverantörens backend. Denna interaktion sker via smartphonens internetanslutning.

Säkerhetsbrister har upptäckts

Under utredningen har ett antal säkerhetsbrister upptäckts.

Övertagande av backend

    \

  • På tre av de fyra backend-plattformarna gick det att ”spoofa” GPS-klockans position. Detta kan få föräldrar att tro att barnet befinner sig på en annan plats än den faktiska.

    • \

  • På två av plattformarna är det möjligt att ”spoofa” röstmeddelanden från GPS-klockan till smartphone-appen.

    • \

  • Och en backend-plattform kunde till och med övertas i sin helhet, vilket gjorde det möjligt att spåra personer med klockan.

Backend-plattformen för Spotter® GPS-klockorna kan inte övertas på något sätt. Autentisering sker baserat på ett unikt användarnamn och lösenord. Detta gäller även för alla slutpunkter i appen. Dessa uppgifter laddas via en säker SSL-anslutning och är därför inte tillgängliga.

Kommunicera utan kryptering och autentisering

    \

  • Smartklockor som använder 3G-plattformen kommunicerar utan kryptering och autentisering med servern som vidarebefordrar information till och från föräldrarnas smartphone-app.

    • \

  • Backend-servern visade sig dessutom vara sårbar för SQL-injektion, vilket innebär att en angripare skulle kunna få tillgång till användarnas privata uppgifter. ANIO:s backend-server kräver att användarna loggar in. När användaren väl är inloggad kan denne dock enkelt se andra användares uppgifter genom att ändra sitt användar-ID. Dessa ID:n visar sig vara inkrementella, vilket gör det enkelt att hitta andra användare.

På Spotter:

    \

  • All kommunikation från Spotter® är krypterad och auktoriserad. En säker VPN-anslutning används för all kommunikation mellan Spotter® GPS-spåraren och plattformen (GSM).

    • \

  • ID:n från ett annat konto kan inte heller hämtas hos Spotter® på grund av säkerheten på kontonivå på Spotter-plattformen. Detta innebär att inga uppgifter kan hämtas som inte ingår i det egna kundkontot och att SQL-injektion inte heller är möjlig.

Överföring av data till servrar utanför EU

Ett annat problem som forskarna upptäckte är att 3G och ANIO skickar data från EU-användare till servrar utanför EU utan att ange detta. Därmed bryter företagen mot GDPR.

Spotter® använder servrar inom EU och uppfyller därmed GDPR-lagstiftningen. Dessutom görs data inte tillgängliga för tredje part för kommersiella ändamål. 

 

Osäkra GPS-spårare

Enligt forskningsrapporten ”STALK: Security Analysis of Smartwatches for Kids” är GPS-klockor från följande tillverkare osäkra:

    \

  1. Tillverkare 3G Electronics

    2. \

  2. Tillverkare Pingonaut Panda2

    3. \

  3. Tillverkare ANIO4 TOUCH

    4. \

  4. Tillverkare XPLORA Go

\n\n \n\nI april 2020 informerades dessa tillverkare om resultaten i utredningsrapporten. Vissa problem har åtgärdats, men ett antal sårbarheter kvarstår.

Spotter® har en säker GPS-spårare för barn

Spotter®:s GPS-klockor för barn är helt säkra att använda. Produkterna är CE-märkta, vilket innebär att de uppfyller de säkerhetskrav som ställs i alla europeiska direktiv. Dessutom tillämpas de högsta standarderna för datasäkerhet för en säker databehandling. Användarens integritet är därmed fullständigt garanterad. Läs mer om säkerhet och integritet hos Spotter® här. Källor:FH MÜNSTER University of Applied SciencesConsumentenbond Security.nl