Як купити ілюзію безпеки у вигляді дитячого смарт-годинника

Ця історія про те, як я хотів зробити життя моєї дитини трохи безпечніше за допомогою нових технологій і що з цього вийшло. Хоча по заголовку я думаю, ви здогадалися, про що піде мова.

Наближалося 1 вересня і я, як батько майбутнього першокласника, задався питанням, як зробити так, щоб перші дні мого чада в школі пройшли як можна більш спокійно як для нього, так і для нас з дружиною.

Я думаю, що не знайдеться людини, яка не чула про таке новому гаджеті, як дитячі смарт-годинник. Ринок просто заполонили численні варіанти пристроїв, як правило, вироблених в Китаї. Ціни і функціональність цих пристроїв варіюються, але кращі з них включають в себе такий широкий набір функцій, як телефон, GPS трекер, месенджер, фотокамеру, крокомір, ну і звичайно ж години. За заявою виробників — цей гаджет створений спеціально для дітей і включає в себе засоби безпеки дитини. Так думав і я, тому став вибирати в інтернеті підходящий варіант. Як підсумок я купив годинник FixiTime 3 від компанії Elari.

функціональність цих годин була вражаюча:

  • GPS/LBS/Wi-Fi-трекінг
  • 2 камери, доступ до камери годин з смартфона підключеного
  • підтримка вхідних і вихідних голосових дзвінків, в тому числі прихованих
  • голосовий чат
  • крокомір
  • ну і Фиксики всередині, як без них

Весь цей багатий набір можливостей годин переконує батьків, що вони отримують якщо не повний, то досить суттєвий контроль над своїм чадом. Але, з іншого боку, пристрої з такою функціональністю повинні надійно захищати дані своїх користувачів. Тим більше, що такими користувачами є діти. Страшно уявити, що може статися, якщо зловмисник отримає доступ до пристрою дитини і зможе стежити за ним.

Читайте також  Новорічні подарунки, частина третя: добре ми вели себе

Охоплений такими думками, я вирішив перевірити, наскільки безпечним є використання куплених мною годин.

Після того, як я встановив додаток Elari SafeFamily з Apple Store і додав до нього годинник з QR-кодом, я запустив Fiddler на ноутбуці і почав аналізувати трафік. Додаток відправляло дані на сервер http://wherecom.com. Перше, на що я звернув увагу, це те, що використовувався звичайний HTTP протокол, ніякого шифрування трафіку не було, ні HTTPS, ні SSL Pinning. У мене закралася тривожна думка, що цим справа не закінчиться.

Так і виявилося. Продовжуючи аналізувати запити і підміняючи в них параметри, я виявив першу вразливість. Так, запит за адресою

http://api.wherecom.com:8099/umeox/api/holder/detail.json?holderId=111111&monitorId=222222 

повертав детальну інформацію про дитину: ім’я, дату народження, зріст, вага, в який клас ходить, номер телефону, адресу батьків, фото дитини і головне — QR-код його годин. Знаючи останній, будь-хто міг додати годинник цієї дитини у свою програму і стежити за ним так само, як це роблять його батьки. Суть же уразливості полягала в тому, що змінивши значення параметра monitorId в запиті в більшу або меншу сторону, ми отримаємо дані іншого дитини.

Так, у плані експерименту, мені вдалося додати декілька пристроїв інших дітей у свою програму.

Продовжуючи аналізувати трафік, я виявив ще кілька запитів, підміна параметрів яких дозволяла отримати різні дані користувачів, такі як історія GPS координат, дані батьків (імена, телефони, e-mail’и). Але вся ця інформація і так була доступна завдяки першій уразливості з QR-кодом. Єдина відмінність була в тому, що додаючи QR код в додаток, зловмисник б видав себе, так як ця інформація відображалася у додатку батьків. Виконуючи інші вразливі запити, зловмисник міг залишатися непоміченим.

Читайте також  Як дізнатись хто дзвонив по номеру телефону

Крім іншого, експлуатацію перерахованих вразливостей порядком спрощував той факт, що всі ці дані були доступні без авторизації до API з будь-якого пристрою, що говорить багато про якість розробленого ЗА і відношенню до питань безпеки в цілому.

Виходить, що виробник, розробляючи пристрій, призначений підвищити безпеку дитини, насправді не дбає про неї, як такої. Таким чином під загрозою опинилися кілька сотень тисяч пристроїв не тільки компанії Elari, але і всіх пристроїв, вироблених китайською компанією Wherecom.

Подальший аналіз показав, що стирчать назовні службові сторінки зі статистикою сервера, адмінка phpMyAdmin, сторінка phpinfo.

Тому я припинив подальший аналіз і почав шукати способи повідомити розробникам програми та виробнику годин про знайдені вразливості. Адже якщо не закрити їх, користуватися годинником стає небезпечно, якщо не сказати більше. І якщо я можу повернути годинник продавцю, то що робити іншим користувачам, навіть не підозрюють про те, що відбувається? Я не зможу оповістити всіх власників, що їх діти не захищені належним чином. Точніше я можу це зробити, адже у мене є доступ до всіх телефонах і імейлів батьків, але цей шлях незаконний, неетичний і досить трудомісткий.

Виробником годин, як ви могли здогадатися, виявилася китайська компанія Wherecom technology limited. Згідно інформації, розміщеної на сайті, розташовуються вони на території Science & Technology Development Institute of China. Можна багато роздумувати, як так вийшло, що такий важливий продукт, призначений для безпеки дітей і розробляється на території наукового інституту, виявився такої низької якості. Насправді всі ми знаємо, на скільки дешевою, а іноді і безкоштовною, буває студентська робоча сила. В результаті маємо те, що маємо.

Далі, я почав численні спроби донести інформацію про вразливості до відповідальних осіб. Спершу я відправив лист в саппорт російського представництва компанії Elari. Але там, створивши автоматично заявку, її на наступний день закрили без будь-яких пояснень.

Читайте також  ТОП 4 КРАЩИХ ПРОГРАМ ДЛЯ ЗАПИСУ ТЕЛЕФОННИХ ДЗВІНКІВ НА ANDROID

Відправивши лист в саппорт компанії Wherecom, я теж через кілька днів так і не отримав відповіді. Далі були повідомлення в Facebook на офіційній сторінці Wherecom, негативний відгук на сайті інтернет-магазину, повідомлення в Linkedin співробітникам Wherecom. Як наслідок, мене почули і виробник і виробник, правда довелося витратити більше зусиль, ніж на сам пошук вразливостей.

Так почали поволі усувати слабкі місця і закривати уразливості. Включили авторизацію до API. Виявляється, її з якоїсь причини відключили, що робило експлуатацію вразливостей максимально простий.

На даний момент, через трохи більше місяця після першого звернення, знайдені мною усунуті уразливості, залишилося перейти на HTTPS і додати SSL Pinning в додаток. Але це тільки та частина прогалин, які мені вдалося виявити в результаті не дуже тривалого аналізу. А хто знає, скільки ще таких вразливостей в їх пристроях. Та й скільки таких неякісних пристроїв продається у всьому світі і ніхто не проводить аудит безпеки. Крім чорних хакерів звичайно ж.

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *