Backdoor in kinderhorloge maakte remote surveillance mogelijk
Onderzoekers hebben in een horloge voor kinderen een backdoor ontdekt waardoor remote surveillance mogelijk was, zoals het nemen van foto's op afstand, het achterhalen van de locatie en het afluisteren van de omgeving. De fabrikant stelt dat er onbedoeld testcode is achtergebleven en heeft een firmware-update uitgebracht om het probleem te verhelpen.
Het gaat om een horloge gefabriceerd door het Chinese bedrijf Qihoo 360 dat door het Noorse Xplora onder de eigen naam op de Europese markt wordt aangeboden. Het kinderhorloge bevat een simkaart en bijbehorend telefoonnummer, alsmede een gps waarmee ouders de locatie van hun kind kunnen zien. Tevens is een microfoon aanwezig waarmee het kind en de ouders kunnen communiceren en een camera voor het maken van foto's of videobellen. Via een app kunnen ouders met de drager van het horloge communiceren.
Onderzoekers van securitybedrijf Mnemonic, die eerder voor de Noorse consumentenautoriteit onderzoek naar smartwatches voor kinderen deden, ontdekten de backdoor. Ze stellen dat de backdoor zelf geen kwetsbaarheid is, maar opzettelijk is aangebracht. Dat blijkt onder andere uit functienamen zoals remote snapshot, wiretap en send location. De backdoor was door middel van het versturen van sms-codes te activeren. Hiervoor moest een eventuele aanvaller wel de geheime encryptiesleutel van het horloge kennen, die tijdens de productie wordt aangemaakt.
De onderzoekers stellen dat zowel Xplora als Qihoo 360 over de encryptiesleutel en het telefoonnummer beschikken, waardoor ze de backdoor zouden kunnen activeren. Daarnaast zou een aanvaller met fysieke toegang tot het horloge de sleutel kunnen achterhalen. "De mogelijkheid om via sms af te luisteren of in het geheim foto's te nemen is geen kwetsbaarheid in de software, een misconfiguratie of een misser in het gebruik van verouderde protocollen. Deze functionaliteit is met opzet ontwikkeld", zo luidt de conclusie van de onderzoekers.
In een reactie aan Ars Technica laat Xplora weten dat de functionaliteit voor prototypes van het horloge was ontwikkeld. "Vanwege privacyzorgen werd de functionaliteit voor alle commerciële modellen verwijderd. De onderzoekers vonden een deel van de code die niet helemaal uit de firmware was verwijderd", aldus een verklaring van het bedrijf. Na te zijn ingelicht door de onderzoekers heeft Xplora een patch ontwikkeld die de backdoor verwijdert en vorige week onder gebruikers is uitgerold.
De schade is al gedaan bye bye Qihoo. Je kan het nog alleen maar van de mensen hebben die het niks interesseert omdat ze toch niks te verbergen hebben.
Dus geen privacy by design, anders was deze code nooit ontwikkeld voor het prototype.
Je vraagt je af wat er door de hoofden van de ontwerpers ging.
Of is dit de gangbare standaard voor een kinderhorloge in China?
Wat zou ik dat horloge als kind snel kapot gemaakt of verloren hebben.
Continue door je ouders op de lip gezeten worden, Ik moet er niet aan denken.
Wat een bemoeizucht.
Je kan het nauwelijks geloven, maar mijn hele familie ziet zo'n track & trace app. juist als een soort van spelletje.
Iedereen heeft mekaar op zo'n app. staan om regelmatig even te gluren waar wie en wie uithangt.
Zomaar, het heeft geen enkel doel dan nieuwsgierigheid.
Dat ik daar niet aan mee wil doen vinden ze maar wat kinderachtig van mij.
Er lopen meer gekken rond dan jij ooit zal begrijpen.
#sockpuppet
Dus geen privacy by design, anders was deze code nooit ontwikkeld voor het prototype.
Je vraagt je af wat er door de hoofden van de ontwerpers ging.
Of is dit de gangbare standaard voor een kinderhorloge in China?
Het is geen 'kinderhorloge' in de zin van kind kan kijken hoe laat het is.
De basisfunctie is al het volgen van waar het kind uithangt en bellen/meekijken door de ouders.
Privacy bij design voor een ding dat _ontworpen is_ om de drager te kunnen tracken/volgen ?
Het is alleen maar een extended feature op die basis functies - eigenlijk helemaal niet vergezocht gegeven waar het ding voor ontworpen is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.