انتشار شده در تاریخ 1400/09/11 - 08:27

ساعت های هوشمند مخصوص کودکان، کابوس امنیتی!

محققین شرکت روس دکتر وب پس از بررسی ساعت های هوشمند کودکان از آن ها به عنوان کابوس حریم خصوصی و امنیت یاد کردند.

به گزارش کارگروه امنیت سایبربان؛ محققین امنیت چهار ساعت هوشمند محبوب کودکان را مورد بررسی قرار دادند و دانلود کننده های از پیش نصب شده، پسوردهای ضعیف و انتقال داده رمزنگاری نشده ای را در آن ها مشاهده کردند.

این بررسی نشان از آن دارد که اکثر این دستگاه ها به طور دلخواه، دوره ای و بدون اطلاع کاربر اقدام به انتقال داده های حساس به سرورهای راه دور می کنند.

این یافته ها می توانند نگران کننده باشند چرا که دستگاه های نام برده به سرعت در میان کودکان محبوب می شوند. والدین بچه ها این ساعت های هوشمند را به منظور کنترل فعالیت ها و موقعیت مکانی فرزندانشان برای آن ها خریداری می کنند.

در این پژوهش که توسط تیم آنتی ویروس دکتر وب صورت گرفت، ساعت های Elari Kidphone 4G، Wokka Lokka Q50، Elari FixiTime Lite و Smart Baby Q19 مورد بررسی قرار گرفتند.

این موارد همگی ساعت های هوشمند مبتنی بر اندرویدی هستند که در روسیه محبوبیت بسیار زیادی دارند و طیف قیمتی آن ها متنوع می باشد.

دکتر وب در بررسی های خود متوجه شد که ساعت های هوشمند Elari Kidphone 4G دارای 3 ماژول مخفی می باشند که داده را به یک لوکیشن مرکزی می فرستد و از راه فرمان ها را دریافت می کند.

این پروسه به صورت پیش فرض هر 8 ساعت یک بار اتفاق می افتد. ( فاصله زمانی بین آن ها قابل تغییر است)

اطلاعات منتقل شده شامل اطلاعات سیم کارت، داده های جغرافیایی، اطلاعات دستگاه، لیست مخاطبین، لیست اپلیکیشن های نصب شده، تعداد پیامک ها و تاریخچه تماس های تلفنی می باشد.

دکتر وب در مورد استفاده از ماژول های مخفی Elari Kidphone 4G در جهت نصب اپلیکیشن های مخرب، دانلود، نصب، اجرا یا لغو نصب کردن اپلیکیشن ها و نمایش تبلیغات بدون اطلاع کاربر ابراز نگرانی کرده است.

دکتر وب گفت:

بنابراین Android.Downloader.3894 مخفی در این ساعت می تواند در جهت جاسوسی سایبری، نمایش تبلیغات و نصب آپلیکیشن های ناخواسته و مخرب مورد استفاده قرار بگیرد.

ارزان ترین مورد در میان موارد ذکر شده Wokka Lokka می باشد. این ساعت هوشمند با قیمتی حدود 15 دلار به آیتمی اقتصادی و قابل خرید معروف است. با این حال محققین مدعی هستند پسورد پیش فرض این ساعت هوشمند ضعیف می باشد (123456( و هیچ یک از داده های منتقل شده میان آن و سرور مستقر در روسیه رمز نگاری نشده است.

این وضعیت می تواند انجام حملات مرد میانی را بسیار آسان کند و بازیگران مخرب خواهند توانست از طریق پیامک لوکیشن کاربر را از او درخواست کنند، از راه دور به صداهای محیطی کاربر گوش دهند و یا حتی نشانی سرور کنترل و فرمان را تغییر دهند.

در مورد Elari FixiTime Lite (50 دلار) و Smart Baby Watch Q19 (25 دلار) شرایط، ترکیبی از موارد فوق الذکر است.

Elari FixiTime Lite داده های حساس مانند تنظیمات GPS، پیام های صوتی و تصاویر را با استفاده از پروتکل رمزنگاری نشده انتقال داده منتقل می کند. این پروتکل رمز نگاری نشده امکان انجام حملات مرد میانی را مهیا می کند و به مهاجمین اجازه می دهد داده های منتقل شده را شنود کنند.

ساعت هوشمند Smart Baby Watch Q19 با وجود آن که از پسورد پیش فرض ضعیفی استفاده می کند اما فرمان های مورد استفاده در آن به صورت قابل کاهش پیدا کرده است. این موضوع می تواند خطرات ناشی از آن را کاهش دهد.

والدین بایستی به هنگام خرید ساعت های هوشمند ارزان قیمت برای فرزندانشان هشیار باشند چرا که گجت های متصل به اینترنت به خصوص مواردی که موقعیت مکانی کودکان را ردیابی می کنند، به خودی خود خطرناک هستند.