Smartwatch dla dzieci – każdy mógł je lokalizować, zmieniać lokalizację, słuchać z dowolnego zakątka na świecie

Wygląda to na klasyczny przykład wdrażania ciekawego produktu, z nieciekawym podejściem do bezpieczeństwa (czyli żadnym). Podatny sprzęt to australijski Tic Toc Track (w cenie $150 dolarów australijskich).

W skrócie, urządzenie łączy się z w zasadzie niezabezpieczonym API. Mając dowolne konto, mieliśmy jednocześnie dostęp do każdej metody API. Np. takiej pobierającej wszystkie dane właściciela (podobne żądanie daje jego ostatnie fizyczne lokalizacje):

Wystarczy tutaj zwykły ID użytkownika (który można iterować). Co więcej można zmieniać różne parametry użytkownika – korzystając z podobnych (autoryzacyjnych) problemów tego API. Np. można zmodyfikować numer telefonu, który jest autoryzowany do wykonania połączenia telefonicznego do zegarka (można więc słuchać dziecko).

Skąd biorą się tego typu problemy? API wykorzystywane przez aplikację mobilną czy inne inteligentne urządzenie nie jest najczęściej bezpośrednio dostępne dla użytkownika. Stąd też być może podejście firm sprowadzające się do twierdzenia: „e, nikt tam się nie dostanie’. Jeśli jednak ktoś zlokalizuje API – często mamy zagładę.

–ms