Οι ερευνητές αποκάλυψαν ένα σύνολο σοβαρών ζητημάτων ασφάλειας σε έναν smartwatch tracker που χρησιμοποιείται σε εφαρμογές, συμπεριλαμβανομένων υπηρεσιών που έχουν σχεδιαστεί για την υποστήριξη ηλικιωμένων και ευάλωτων ατόμων.
Την Πέμπτη, εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο από την Pen Test Partners αποκάλυψαν προβλήματα ασφάλειας που βρέθηκαν στην υπηρεσία SETracker, λογισμικό που απευθύνεται σε παιδιά και ηλικιωμένους – ειδικά σε άτομα με άνοια ή άτομα που χρειάζονται υπενθυμίσεις για να ολοκληρώσουν τις καθημερινές τους δουλειές, όπως η λήψη φαρμάκων.
Η εφαρμογή GPS tracker μπορεί να χρησιμοποιηθεί σε συνδυασμό με ένα smartwatch, και με τη σειρά τους, οι χρήστες μπορούν να χρησιμοποιήσουν το σύστημα για να πραγματοποιήσουν μια κλήση εάν χρειάζονται βοήθεια.
Η εφαρμογή SETracker της κινεζικής εταιρείας 3G Electronics, είναι διαθέσιμη σε iOS και Android και έχει ληφθεί πάνω από 10 εκατομμύρια φορές.
Ωστόσο, τα ελαττώματα ασφαλείας στο προϊόν έδειξαν ότι δεν ήταν μόνο οι φροντιστές ή τα αγαπημένα τους πρόσωπα που θα μπορούσαν να παρακολουθούν τις κινήσεις ή τις δραστηριότητες ενός χρήστη.
Το λογισμικό του προμηθευτή, από το οποίο υπάρχουν τώρα τρεις version εφαρμογών για κινητά, τρέχει συχνά στο παρασκήνιο φτηνών smartwatch που προσφέρονται από διάφορες μάρκες. Το SETracker βρίσκεται επίσης στα ακουστικά και στη βιομηχανία λογισμικού αυτοκινήτων.
Σύμφωνα με την Pen Test Partners, το πρώτο σημαντικό ζήτημα ασφάλειας ήταν η ανακάλυψη ενός απεριόριστου “server to server API”. Ο server θα μπορούσε να χρησιμοποιηθεί για την παραβίαση της υπηρεσίας SETracker με τρόπους που περιλαμβάνουν, αλλά δεν περιορίζονται σε, αλλαγή κωδικών πρόσβασης συσκευών, πραγματοποίηση κλήσεων, αποστολή μηνυμάτων κειμένου, διεξαγωγή παρακολούθησης και πρόσβαση σε κάμερες ενσωματωμένες σε συσκευές.
Εάν το σύστημα υποστήριξης μιας οθόνης βασίζεται στο SETracker, ήταν δυνατό να σταλούν ψεύτικα μηνύματα, συμπεριλαμβανομένων εντολών “TAKEPILLS”, οι οποίες έχουν ρυθμιστεί για να υπενθυμίζουν στους χρήστες να πάρουν τα φάρμακά τους.
«Ένας πάσχων από άνοια είναι απίθανο να θυμάται ότι έχει ήδη πάρει τα φάρμακα του», σημείωσαν οι ερευνητές. “Θα μπορούσε εύκολα να προκύψει υπερβολική δόση.”
Οι ερευνητές βρήκαν επίσης τον πηγαίο κώδικα του software, ο οποίος κατά λάθος διατέθηκε δημόσια μέσω ενός μεταγλωττισμένου αρχείου node που φιλοξενείται στο διαδίκτυο ως αντίγραφο ασφαλείας χωρίς προστασία.
Κωδικοί πρόσβασης MySQL, email, SMS και Redis, καθώς και κωδικοί πρόσβασης στον πηγαίο κώδικα ήταν διαθέσιμα για προβολή. Μια βάση δεδομένων που περιέχει εικόνες χρηστών ήταν επίσης ανοιχτή για κατάχρηση.
“Ο πηγαίος κώδικας έδειξε ότι αυτός ο κάδος ήταν όπου στέλνονταν όλες οι φωτογραφίες που τραβήχτηκαν από συσκευές. Όμως δεν επιβεβαιώθηκε”, λέει η Pen Test Partners. “Δεδομένου ότι η περίπτωση χρήσης αυτών των συσκευών είναι κατά κύριο λόγο παιδιά, είναι πολύ πιθανό αυτές οι εικόνες να περιέχουν εικόνες παιδιών.”
Επίσης δεν είναι γνωστό εάν κάποιο από τα θέματα ασφαλείας έχει αξιοποιηθεί από κάποιον hacker.
Η Pen Test Partners αποκάλυψε τα ευρήματά της στην 3G Electronics στις 22 Ιανουαρίου. Η εταιρεία δεν απάντησε μέχρι τις 12 Φεβρουαρίου. Στη συνέχεια, η Triage ακολούθησε με την αποκάλυψη των τρωτών σημείων API του server στις 17 Φεβρουαρίου, τα οποία διορθώθηκαν μια μέρα αργότερα.
Στις 20 Μαΐου, οι ερευνητές ανέφεραν το πρόβλημα του κόμβου στον προμηθευτή και στις 29 Μαΐου, η 3G Electronics επιβεβαίωσε ότι το αρχείο είχε αφαιρεθεί και ότι όλοι οι κωδικοί πρόσβασης είχαν αλλάξει.
