Інформаційна безпека

Як купити ілюзію безпеки у вигляді дитячого смарт-годинника

Ця історія про те, як я хотів зробити життя моєї дитини трохи безпечніше за допомогою нових технологій і що з цього вийшло. Хоча по заголовку я думаю, ви здогадалися, про що піде мова.

Наближалося 1 вересня і я, як батько майбутнього першокласника, задався питанням, як зробити так, щоб перші дні мого чада в школі пройшли як можна більш спокійно як для нього, так і для нас з дружиною.

Я думаю, що не знайдеться людини, яка не чула про таке новому гаджеті, як дитячі смарт-годинник. Ринок просто заполонили численні варіанти пристроїв, як правило, вироблених в Китаї. Ціни і функціональність цих пристроїв варіюються, але кращі з них включають в себе такий широкий набір функцій, як телефон, GPS трекер, месенджер, фотокамеру, крокомір, ну і звичайно ж години. За заявою виробників — цей гаджет створений спеціально для дітей і включає в себе засоби безпеки дитини. Так думав і я, тому став вибирати в інтернеті підходящий варіант. Як підсумок я купив годинник FixiTime 3 від компанії Elari.

функціональність цих годин була вражаюча:

  • GPS/LBS/Wi-Fi-трекінг
  • 2 камери, доступ до камери годин з смартфона підключеного
  • підтримка вхідних і вихідних голосових дзвінків, в тому числі прихованих
  • голосовий чат
  • крокомір
  • ну і Фиксики всередині, як без них

Весь цей багатий набір можливостей годин переконує батьків, що вони отримують якщо не повний, то досить суттєвий контроль над своїм чадом. Але, з іншого боку, пристрої з такою функціональністю повинні надійно захищати дані своїх користувачів. Тим більше, що такими користувачами є діти. Страшно уявити, що може статися, якщо зловмисник отримає доступ до пристрою дитини і зможе стежити за ним.

Охоплений такими думками, я вирішив перевірити, наскільки безпечним є використання куплених мною годин.

Після того, як я встановив додаток Elari SafeFamily з Apple Store і додав до нього годинник з QR-кодом, я запустив Fiddler на ноутбуці і почав аналізувати трафік. Додаток відправляло дані на сервер http://wherecom.com. Перше, на що я звернув увагу, це те, що використовувався звичайний HTTP протокол, ніякого шифрування трафіку не було, ні HTTPS, ні SSL Pinning. У мене закралася тривожна думка, що цим справа не закінчиться.

Так і виявилося. Продовжуючи аналізувати запити і підміняючи в них параметри, я виявив першу вразливість. Так, запит за адресою

http://api.wherecom.com:8099/umeox/api/holder/detail.json?holderId=111111&monitorId=222222 

повертав детальну інформацію про дитину: ім’я, дату народження, зріст, вага, в який клас ходить, номер телефону, адресу батьків, фото дитини і головне — QR-код його годин. Знаючи останній, будь-хто міг додати годинник цієї дитини у свою програму і стежити за ним так само, як це роблять його батьки. Суть же уразливості полягала в тому, що змінивши значення параметра monitorId в запиті в більшу або меншу сторону, ми отримаємо дані іншого дитини.

Так, у плані експерименту, мені вдалося додати декілька пристроїв інших дітей у свою програму.

Продовжуючи аналізувати трафік, я виявив ще кілька запитів, підміна параметрів яких дозволяла отримати різні дані користувачів, такі як історія GPS координат, дані батьків (імена, телефони, e-mail’и). Але вся ця інформація і так була доступна завдяки першій уразливості з QR-кодом. Єдина відмінність була в тому, що додаючи QR код в додаток, зловмисник б видав себе, так як ця інформація відображалася у додатку батьків. Виконуючи інші вразливі запити, зловмисник міг залишатися непоміченим.

Крім іншого, експлуатацію перерахованих вразливостей порядком спрощував той факт, що всі ці дані були доступні без авторизації до API з будь-якого пристрою, що говорить багато про якість розробленого ЗА і відношенню до питань безпеки в цілому.

Виходить, що виробник, розробляючи пристрій, призначений підвищити безпеку дитини, насправді не дбає про неї, як такої. Таким чином під загрозою опинилися кілька сотень тисяч пристроїв не тільки компанії Elari, але і всіх пристроїв, вироблених китайською компанією Wherecom.

Подальший аналіз показав, що стирчать назовні службові сторінки зі статистикою сервера, адмінка phpMyAdmin, сторінка phpinfo.

Тому я припинив подальший аналіз і почав шукати способи повідомити розробникам програми та виробнику годин про знайдені вразливості. Адже якщо не закрити їх, користуватися годинником стає небезпечно, якщо не сказати більше. І якщо я можу повернути годинник продавцю, то що робити іншим користувачам, навіть не підозрюють про те, що відбувається? Я не зможу оповістити всіх власників, що їх діти не захищені належним чином. Точніше я можу це зробити, адже у мене є доступ до всіх телефонах і імейлів батьків, але цей шлях незаконний, неетичний і досить трудомісткий.

Виробником годин, як ви могли здогадатися, виявилася китайська компанія Wherecom technology limited. Згідно інформації, розміщеної на сайті, розташовуються вони на території Science & Technology Development Institute of China. Можна багато роздумувати, як так вийшло, що такий важливий продукт, призначений для безпеки дітей і розробляється на території наукового інституту, виявився такої низької якості. Насправді всі ми знаємо, на скільки дешевою, а іноді і безкоштовною, буває студентська робоча сила. В результаті маємо те, що маємо.

Далі, я почав численні спроби донести інформацію про вразливості до відповідальних осіб. Спершу я відправив лист в саппорт російського представництва компанії Elari. Але там, створивши автоматично заявку, її на наступний день закрили без будь-яких пояснень.

Відправивши лист в саппорт компанії Wherecom, я теж через кілька днів так і не отримав відповіді. Далі були повідомлення в Facebook на офіційній сторінці Wherecom, негативний відгук на сайті інтернет-магазину, повідомлення в Linkedin співробітникам Wherecom. Як наслідок, мене почули і виробник і виробник, правда довелося витратити більше зусиль, ніж на сам пошук вразливостей.

Так почали поволі усувати слабкі місця і закривати уразливості. Включили авторизацію до API. Виявляється, її з якоїсь причини відключили, що робило експлуатацію вразливостей максимально простий.

На даний момент, через трохи більше місяця після першого звернення, знайдені мною усунуті уразливості, залишилося перейти на HTTPS і додати SSL Pinning в додаток. Але це тільки та частина прогалин, які мені вдалося виявити в результаті не дуже тривалого аналізу. А хто знає, скільки ще таких вразливостей в їх пристроях. Та й скільки таких неякісних пристроїв продається у всьому світі і ніхто не проводить аудит безпеки. Крім чорних хакерів звичайно ж.

Related Articles

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Close