Kindersmartwatches winnen de afgelopen tijd sterk aan populariteit. Deze slimme horloges beschikken over onder andere een gps-ontvanger, zodat ouders via een app eenvoudig kunnen zien waar hun kinderen zijn. Maar IT security specialist DearBytes heeft een lek aangetroffen in de cloudomgeving van een Chinese fabrikant. Deze omgeving verwerkt de data die hun kindersmartwatches genereren. Het product wordt wereldwijd verkocht onder allerlei merknamen, waardoor het lek een enorme impact had.
DearBytes kon in de cloudomgeving relatief eenvoudig data van kindersmartwatches achterhalen. Denk hierbij aan de actuele locatie en de volledige locatiegeschiedenis van de smartwatch. Daarnaast kon het bedrijf deze gegevens projecteren op een kaart.
Ook konden de onderzoekers grote hoeveelheden telefoonnummers van ouders opvragen. Een steekproef bevestigde de wereldwijde impact: de onderzoekers troffen op hetzelfde platform naast Nederlandse telefoonnummers ook nummers uit twaalf andere landen aan, waaronder België, Duitsland en het Verenigd Koninkrijk.
In de handen van kwaadwillenden zijn deze gegevens zeer gevaarlijk. “Hackers kunnen precies zien waar je kind is, maar ook welke route je kind vaak aflegt. De hacker hoeft daarvoor niet eens in de buurt te zijn van het kind. Dit kan vanaf iedere willekeurige locatie met een internetverbinding”, legt onderzoeker Wesley Neelen van DearBytes uit.
Lek verholpen
De kwetsbaarheid werd aangetroffen in een kindersmartwatch die wordt verkocht onder de merknaam hellOO. De onderzoeker heeft het lek inmiddels daar gemeld. hellOO heeft vervolgens contact opgenomen met de Chinese fabrikant en het lek laten dichten.
Grote risico’s
Het Internet of Things biedt haast oneindige mogelijkheden, maar brengt ook risico’s met zich mee. Deze kwetsbaarheid toont dat maar weer eens aan. DearBytes raadt dan ook aan stil te staan bij deze risico’s. “Je moet als consument of bedrijf altijd nagaan welke informatie een connected apparaat verzamelt. Stel je voor dat die data ooit op straat komen te liggen. Vraag jezelf dan af of de voordelen opwegen tegen het risico, en of je bereid bent het risico te accepteren. Is dat niet het geval, dan moet je er simpelweg geen gebruik van maken”, aldus Neelen.
Transparantie
Volgens Erik Remmelzwaal, Managing Director bij DearBytes, staat het aangetroffen lek niet op zichzelf. “Vrijwel ieder IoT-apparaat dat we testen, blijkt kwetsbaar te zijn. Het is daarom goed en noodzakelijk dat onze overheid werkt aan regelgeving om de digitale veiligheid van producten te garanderen.
Helaas laat de nieuwe wetgeving nog wel even op zich wachten, dus moeten we voorkomen dat er calamiteiten ontstaan. Wij hopen dan ook dat we met dit soort onderzoeken fabrikanten stimuleren om security een belangrijk onderdeel van het ontwikkelproces te maken en een product te laten pentesten voordat het op de markt wordt gebracht. Consumenten kunnen een gedegen security en privacy ook stimuleren door het aannemen van een kritische houding in het aankoopproces.