Beheer

Security
spelen kinderen

IT-lek maakt het kinderlokker erg makkelijk

Locatiegegevens van hellOO-smartwatches waren eenvoudig op te vragen

© CC BY-SA 2.0 - Flickr.com guilherme jofili
31 mei 2018

Locatiegegevens van hellOO-smartwatches waren eenvoudig op te vragen

Kindersmartwatches blijken een populaire manier voor ouders om op een relatief goedkope manier altijd te kunnen zien waar hun kind uithangt. Het wordt vervelender als ook kwaadwillenden die gegevens makkelijk kunnen bekijken.

Een ethical hacker bij DearBytes, ontdekte dat bij sommige van deze horloges met GPS de locatiegegevens heel makkelijk zijn op te vragen. Het lek zit in de cloudomgeving van de Chinese producent van wie in Nederland horloges worden verkocht onder de merknaam hellOO. Het enige dat de hacker nodig, had was het serienummer van de horloges. Met een brute force aanval wist hij met 10.000 pogingen 500 valide nummers te ontdekken.

Na het invoeren van een valide serienummer kon de hacker de actuele positie van het horloge op een kaart tonen, net als de locatiegeschiedenis. Daarmee is het dus heel makkelijk vanachter een pc te achterhalen welke routes een kind aflegt en op welke plekken het zich vaak ophoudt. Afgezien van de locatiegegevens van de horloges kon de hacker ook de telefoonnummers van de ouders opvragen. Daaruit bleek dat het probleem zich niet beperkt tot Nederland. In de database komen ook telefoonnummers in België, Duitsland en het Verenigd Koninkrijk voor.

Gebruik IoT betekent risico nemen

De ethical hacker heeft alvorens het probleem wereldkundig te maken, eerst gezorgd dat de Chinese producent het lek heeft gedicht. De woordvoerder van hellOO Netherlands zegt dat het bedrijf maatregelen heeft genomen naar aanleiding van deze ontdekking. In het vervolg gaat het bedrijf samen met een specialist regelmatige veiligheidstests uitvoeren. De hacker wijst er op dat deze kwetsbaarheid maar weer eens aantoont dat het Internet of Things naast oneindige mogelijkheden ook risico's met zich meebrengt. "Je moet als consument of bedrijf altijd nagaan welke informatie een connected apparaat verzamelt. Stel je voor dat die data ooit op straat komen te liggen. Vraag jezelf dan af of de voordelen opwegen tegen het risico, en of je bereid bent het risico te accepteren. Is dat niet het geval, dan moet je er simpelweg geen gebruik van maken."

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.