Ícone do site IPNews – O Portal da Conectividade

Estudo encontra falhas de segurança em smartwatches para crianças

Estudo publicado pela revista estadunidense Wired apontou que smartwatches desenvolvidos para crianças apresentam falhas de segurança que permitem o roubo de dados. Elaborado por pesquisadores da Universidade de Ciências Aplicadas de Münster, na Alemanha, o estudo aponta modelos de seis marcas: Starlian, JBC, PolywellPingonaut, ANIO e Xplora.

CONTEÚDO RELACIONADO – Alerta: pré-cadastro do Pix vira arma de hackers para roubo de credenciais

Os dispositivos analisados são projetados para enviar e receber mensagens de voz e texto e permitir que os pais rastreiem a localização de seus filhos a partir de um aplicativo. Nos produtos da JBC, Polywell, ANIO e Starlian, os smartwatches usam uma arquitetura de hardware e de back-end do mesmo fabricante. Segundo os pesquisadores, foi possível descobrir que as comunicações com o servidor e o dispositivo não eram criptografadas e nem mesmo contavam com mecanismos de autenticação. 

Portanto, uma vez que cada um desses smartwatches vem com um IMEI que funciona como um identificador único, um atacante com essa informação pode se aproveitar das falhas para alterar a comunicação enviada do relógio para o servidor e modificar os registros de localização. Também é possível espionar comunicações gravando sons através do smartwatch e até mesmo enviar mensagem de voz fazendo com que os pais acreditem que foi enviada do dispositivo de seu filho. 

O ANIO4 touch apresentou falhas de autenticação na comunicação com o servidor que permitem a um atacante se conectar ao servidor usando credenciais de login legítimas e falsificar sua identidade para enviar comandos se fazendo passar por outro usuário. Algo semelhante também ocorre com o smartwatch da Pingonat, mais especificamente o Panda 2. 

As falhas de segurança foram corrigidas, bem como as vulnerabilidades nos smartwatches JBC e Polywell. No caso dos relógios do fabricante Starlian, ainda há falhas relatadas. No caso do Panda 2, os fabricantes disseram aos pesquisadores que acrescentariam a criptografia TLS para proteger as comunicações de seus novos modelos. 

Esta não é a primeira vez que falhas de segurança são descobertas em dispositivos IoT para crianças. Em 2017, o Conselho de Consumidores da Noruega revelou, em um estudo realizado também em smartwatches para crianças, a existência de falhas de segurança. Na época, as vulnerabilidades foram relatadas aos fabricantes e muitas delas foram corrigidas. 

 

Participe das comunidades IPNews no FacebookLinkedIn e Twitter. 

Sair da versão mobile