Việc lập trình web và ứng dụng di động không an toàn cho phép kẻ tấn công nhắm vào những chiếc smartwatch giá rẻ cho trẻ em, từ đó truy cập chi tiết vào dữ liệu và thông tin của cả trẻ lẫn phụ huynh.
Một mẫu smartwatch giá rẻ dành cho trẻ em được sản xuất ở Trung Quốc đã bị phát hiện thu thập thông tin cá nhân và vị trí hơn 5.000 trẻ em và cả cha mẹ các bé.
Các chuyên gia của bộ phận thử nghiệm Internet of Things thuộc tổ chức bảo mật AV-TEST (Đức) cho biết họ đã tìm thấy một số lỗi nghiêm trọng trong phương thức bảo mật được dùng để bảo vệ phần backend và ứng dụng di động của chiếc smartwatch M2 do công ty SMA của Trung Quốc sản xuất.
“Cho đến nay, đồng hồ thông minh M2 của Trung Quốc đang là một trong những sản phẩm nhiều lỗi bảo mật nhất so với những hãng sản xuất khác”, Maik Morgenstern – CEO kiêm Giám đốc sản xuất của AV-TEST cho biết.
Lỗi bảo mật của đồng hồ thông minh M2
M2 là mẫu smartwatch giá rẻ dành riêng cho trẻ em đã ra mắt nhiều năm. Thiết bị hoạt động trên nền tảng ứng dụng di động. Khi mua sản phẩm, phụ huynh sẽ đăng ký tài khoản trên dịch vụ SMA, kết nối đồng hồ của trẻ với điện thoại của họ. Sau đó phụ huynh có thể sử dụng ứng dụng để theo dõi vị trí, thực hiện cuộc gọi hoặc nhận thông báo khi trẻ rời khỏi khu vực chỉ định.
Về cơ bản, tính năng này không mới, có rất nhiều sản phẩm khác trên thị trường sử dụng công nghệ tương tự với giá dao động từ 30 đến 300 USD. Tuy nhiên, Morgenstern cho biết SMA đã làm ra một trong những sản phẩm kém an toàn nhất trên thị trường hiện nay.
Đầu tiên, bất kỳ ai cũng có thể truy vấn phần backend của thiết bị thông qua API web công khai. Đây cũng là phần lập trình mà ứng dụng di động kết nối để lấy dữ liệu và hiển thị trên điện thoại của phụ huynh.
Morgenstern cho biết có một mã thông báo xác thực để ngăn chặn truy cập trái phép, tuy nhiên kẻ tấn công có thể cung cấp bất kỳ mã thông báo nào cũng được, vì máy chủ không xác minh tính hợp lệ của mã. Tin tặc có thể kết nối với API web, tìm được tất cả ID người dùng và thu thập mọi dữ liệu về trẻ em và cả phụ huynh.
Bằng kỹ thuật này, nhóm nghiên cứu của AV_TEST đã xác định được hơn 5.000 trẻ đeo smartwatch M2 và hơn 10.000 tài khoản phụ huynh. Theo báo cáo, những thông tin thu thập chủ yếu thuôc những nước châu Âu như Hà Lan, Ba Lan, Thổ Nhĩ Kỳ, Đức, Tây Ban Nha, Bỉ… và những khu vực khác như Trung Quốc, Mexico và Hồng Kông.
Dữ liệu hiển thị qua API Web gồm vị trí địa lý theo thời gian thực, loại thiết bị, số IMEI và thẻ SIM.
Ngoài ra, lỗ hổng thứ hai cho phép những kẻ tấn công truy cập vào các chức năng rất nguy hiểm. Theo Morgenstern, ứng dụng di động cài đặt trên điện thoại của phụ huynh cũng không an toàn. Tin tặc có thể cài đặt phần mềm đó trên thiết bị riêng, thay đổi ID người dùng trong tập tin cấu hình chính của ứng dụng và ghép nối smartphone của họ với đồng hồ thông minh của trẻ mà không cần nhập địa chỉ email hoặc mật khẩu tài khoản.
Sau khi ghép smartphone của họ với smartwatch của trẻ, tin tặc có thể sử dụng những tính năng của ứng dụng để theo dõi vi trí thiết bị thông qua bản đồ, hoặc thậm chí thực hiện cuộc gọi và tương tác trực tiếp với trẻ.
Nguy hiểm hơn, kẻ tấn công có thể thay đổi mật khẩu tài khoản di động và vô hiệu hóa tài khoản của bố mẹ khỏi ứng dụng, sau đó đưa ra những hướng dẫn sai cho trẻ.
Thiết bị vẫn đang được bán trên thị trường
Morgenstern cho biết phía AV-TEST đã liên lạc với SMA và báo cáo về phát hiện của họ nhưng không tiết lộ về phản ứng của SMA. Ông chỉ nhấn mạnh rằng M2 vẫn tiếp tục được bán trên trang web của công ty và thông qua nhiều nhà phân phối khác ở Đức. SMA từ chối bình luận về vụ việc.
Morgenstern cũng đã báo cáo với Văn phòng An ninh Thông tin Liên bang Đức (BIS). Năm 2017, BIS từng cấm bán những dòng smartwatch trẻ em có kèm tính năng nghe từ xa trên toàn nước Đức.
Hồi tháng 2, Liên minh châu Âu EU đã rút giấy phép phát hành hai mẫu đồng hồ thông minh của trẻ em vì những lỗi bảo mật tương tự khiến tin tặc liên lạc và theo dõi vị trí của trẻ.