Уязвимость часов TicTocTrack позволяет шпионить за детьми

Исследователи PenTestPartners обнаружили серьезную уязвимость в детских умных часах TicTocTrack. Гаджет продвигается под видом удобного средства за контролем местонахождения ребенка. Как оказалось, брешь в защите позволяет посторонним получить доступ к личным данным, GPS-координатам и микрофону устройства.

Смарт-часы распространяются вместе с приложением от компании Nibaya, в защите которого и кроется уязвимость. По задумке разработчиков, с его помощью родители могут отслеживать местоположение детей, послать сигнал тревоги или даже услышать, что происходит вокруг ребенка.

Как выяснилось, манипулируя с запросами к конечным точкам OData, злоумышленники могут шпионить за владельцем. Для этого преступнику нужно всего лишь завести аккаунт TicTocTrack. Недостаточная проверка поступающих команд позволяет получить доступ к чужим данным и даже изменять их от имени любого профиля.

«В целом мы видим, что бэкенд-разработчик не уделял внимания процессам проверки запросов и заботился только об эффективной работе приложения, — заявил Вангелис Стикас (Vangelis Stykas) из PenTestPartners. — Любой может подменить GPS-данные, заставляя вас думать, что ваши дети в безопасном месте, хотя на самом деле это не так».

Помимо местоположения, исследователям удалось подменить номер для экстренной связи, подключиться к микрофону устройства и беспрепятственно совершать двусторонние звонки.

Эксперты PenTestPartners уверены, что TicTocTrack является одной из версий умных детских часов Gator. Уязвимость в устройствах этой компании ранее поставила под угрозу личную информацию 35 тыс. детей.

Разработчики TicTocTrack уже приостановили доступ к мобильному приложению и устройству для всех владельцев. Как утверждают представители компании: «На сегодняшний день не произошло нарушения безопасности, которое привело бы к использованию личных данных наших пользователей в преступных целях»

Это далеко не первый случай, когда безопасность смарт-часов оказывается на низком уровне. Ранее мы уже писали о запрете на использование этих устройств в Германии, который был вызван в том числе низким уровнем их безопасности. В феврале похожее решение в отношении Safe-KID-One вынесла Европейская Комиссия.

Источник: https://threatpost.ru/tictoctrack-vulnerability-allow-to-spy-on-kids/32369/

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *