DearBytes vindt ernstig lek in smartwatches voor kinderen

Abonneer je gratis op Techzine!

DearBytes heeft een ernstig lek gevonden in smartwatches die specifiek zijn gemaakt voor kinderen. Het lek maakte het mogelijk voor kwaadwillenden om grote hoeveelheden locatiegegevens van kinderen te achterhalen. De kwetsbaarheid bevond zich in de cloudomgeving van de Chinese fabrikant die de producten leverde. Ondertussen is het probleem verholpen.

Smartwatches voor kinderen zijn steeds populairder. Ze hebben een gps-ontvanger, waarmee het voor ouders eenvoudig is om te kijken waar hun kinderen precies uithangen. In de cloudomgeving van de Chinese fabrikant, die de producten onder diverse merknamen uitbracht, werd een lek aangetroffen. Daardoor had het lek een grote impact wereldwijd. Dankzij DearBytes kon het gedicht worden en is het probleem ondertussen opgelost.

Eenvoudig te hacken

De hack, die werd uitgevoerd door ethisch hacker Wesley Neelen van Dearbytes, bleek erg eenvoudig. Het was eenvoudig om in de cloudomgeving data van de horloges te achterhalen en te projecten op een kaart. Daarvoor had Neelen enkel het serienummer van het horloge nodig. En dat was ook erg eenvoudig te achterhalen: Neelen genereerde 10.000 serienummers, waarvan er vijfhonderd valide bleken te zijn.

Niet alleen waren de locatiegegevens van de kinderen beschikbaar, ook konden de telefoonnummers van ouders gevonden worden op deze manier. Een steekproef bevestigde de wereldwijde impact van het lek: er werden telefoonnummers van dertien landen aangetroffen, waaronder Nederland, België, Duitsland en het Verenigd Koninkrijk.

Gevaar van IoT

De kwetsbaarheid werd door DearBytes aangetroffen in een kindersmartwatch van het merk hellOO. Dat nam contact op met de Chinese fabrikant, die vervolgens het lek heeft gedicht. Deze problemen tonen volgens DearBytes het gevaar van het Internet of Things (IoT). Het brengt veel voordelen met zich mee, maar dit soort kwetsbaarheden zijn risicovol.

Het is volgens DearBytes dan ook aan te raden dat consumenten en bedrijven nagaan welke informatie er verzameld wordt en te kijken of de voordelen opwegen tegen de risico’s.