Onderzoek: locatiegegevens kindersmartwatches eenvoudig te achterhalen

smartwatch voor kind

Een lek in kindersmartwatches konden kwaadwillenden relatief eenvoudig grote hoeveelheden locatiegegevens van kinderen achterhalen. De kwetsbaarheid zat in de cloudomgeving van een Chinese fabrikant van wie het product onder allerlei merknamen wereldwijd wordt verkocht.

Het gaat onder andere om hellOO. Inmiddels is de kwetsbaarheid verholpen.

Kindersmartwatches zijn slimme horloges die onder andere een gps-ontvanger hebben. Ouders kunnen via een app eenvoudig zien waar hun kinderen zijn. De cloudomgeving van de Chinese fabrikant verwerkt de data die hun kindersmartwatches genereren.

Locatiegegevens

Wesley Neelen, ethical hacker bij het bedrijf dat het lek ontdekte, DearBytes, heeft het onderzoek naar de kindersmartwatches uitgevoerd. Hij kon in de cloudomgeving relatief eenvoudig data van kindersmartwatches achterhalen. Denk hierbij aan de actuele locatie en de volledige locatiegeschiedenis van de smartwatch.

Daarnaast kon hij deze gegevens projecteren op een kaart. Hij had hiervoor alleen het serienummer van de kindersmartwatch nodig.

Deze serienummers bleken gemakkelijk te achterhalen. Van de 10.000 geautomatiseerde pogingen werden ongeveer 500 valide nummers herkend. Ook konden de onderzoekers op deze manier grote hoeveelheden telefoonnummers van ouders opvragen. Een steekproef bevestigde de wereldwijde impact.

De onderzoeker trof op hetzelfde platform naast Nederlandse telefoonnummers ook nummers uit 12 andere landen aan. Daaronder zaten België, Duitsland en het Verenigd Koninkrijk.

In de handen van kwaadwillenden zijn deze gegevens zeer gevaarlijk. “Hackers kunnen precies zien waar je kind is, maar ook welke route je kind vaak aflegt. De hacker hoeft daarvoor niet eens in de buurt te zijn van het kind. Dit kan vanaf iedere willekeurige locatie met een internetverbinding”, legt Neelen uit.

Lek verholpen

De kwetsbaarheid werd aangetroffen in een kindersmartwatch onder de merknaam hellOO. De onderzoeker heeft het lek inmiddels daar gemeld. hellOO heeft vervolgens contact opgenomen met de Chinese fabrikant en het lek laten dichten.

hellOO gaat inmiddels voor de nieuwe generatie wearables en andere connected IoT-apparaten samenwerken met het Nederlandse SafetyTracer. Het bedrijf is een medisch gevalideerd platform. Zowel de oude als de nieuwe apparaten zullen daarnaast regelmatig getest worden om ze veilig te houden.

 

Gerelateerde berichten...