儿童智能跟踪手表的安全现状

iso60001  284天前

22.png

儿童智能追踪手表的安全性:也许没人能想到,并不是几千个,而是至少有4700万,大概有1亿5千万儿童智能追踪设备暴露在外网。

这一切都指向两至三个“懒惰”的产品制造商,就像Mirai v1时的那样。

而在过往已发生很多智能追踪手表的安全事件,但并没有引起大的波澜:

冰岛数据保护机构对Enox智能手表发出警报。
https://ec.europa.eu/consumers/consumers_safety/safety_products/rapex/alerts/?event=viewProduct&reference=A12/0157/19&lng=en

AVAST发现某款销售量达23万的手表存在漏洞。
https://blog.avast.com/unsecure-child-trackers

Rapid 7在G36和SmarTurtles手表上发现高危漏洞。
https://blog.rapid7.com/2019/12/11/iot-vuln-disclosure-childrens-gps-smart-watches-r7-2019-57/

AV-TEST发现某款手表泄露大量数据
https://www.iot-tests.org/2019/11/product-warning-chinese-childrens-watch-reveals-thousands-of-childrens-data/

挪威消费者委员发现几款手表中的高危漏洞
https://www.forbrukerradet.no/side/significant-security-flaws-in-smartwatches-for-children/

一旦4700万台设备被攻陷,或许攻击者可以做一些真正有趣的事情,例如在真人秀等其他依靠电话或短信投票的电视节目中胜出。

除了检索或更改数百万儿童的GPS实时位置之外,还能呼叫和暗中监视他们,以及获取存储在公共存储库中的音频记录。

33.png

上图显示了一个孩子(实际上是我自己的孩子!)带着追踪手表在伦敦行走的实时路径,我不需要身份验证即可获得。

物联网平台

贴牌产品在物联网中很普遍,尤其是对于在远东地区的各大设备制造商。

物联网平台也越来越普遍,因为它缩短了初创企业进入市场的时间,前提是能“嫁接”上第三方的API和云平台。

44.png

而以上这些为安全埋下了隐患。

thinkrace

55.png

在我们看来,最大且最差的ODM(设计外包)追踪产品是thinkrace。这家手表和追踪器制造商还提供了一个API和云平台,方便快速将贴牌的追踪设备和儿童智能手表推向国际市场。

这其中有一个很复杂的ODM/分销商/进口商/品牌所有者/贴牌操作,很难确定哪里会出现问题。

通常情况下,品牌所有者甚至没有意识到他们出售的设备是基于thinkrace的平台。

冰岛Enox手表?thinkrace API


AVAST对于T8手表的研究?thinkrace API


AV-TEST测试的SMA手表?thinkrace API


等等……

在2015年,Mich Gruhn @0x6d696368和我们的Vangelis @evstykas在大约370种不同类型的设备中发现了大量的漏洞,影响了全世界超过2000万台设备。大多数漏洞都是请求授权缺陷:IDORs(不安全的直接对象引用),又名BOLA(Broken object Level Authorization)。

简而言之:智能手表的API未能检测是否是合法用户检索孩子的数据。这意味着任何人都可以请求任何孩子的数据。

而所有和这个厂商相关的手表中都存在某些共同问题,我们一直在深入研究。

漏洞

撇开研究人员在某个手表上不断发现的默认凭证和权限问题不谈,thinkrace就像是一个失败的怪物。

大多数API调用都不需要授权,服务本身也很好的文档化——就是可以看到Web服务描述语言(WDSL)文件。

所有的变量都只是简单地递增整数,这意味着攻击者可暴力推断出设备的数量。

添加一个新帐户,查看ID号,然后再添加另一个新帐户,会发现ID号只是加1。

在几乎所有的设备(包括非thinkrace品牌)中,我们都可以看到默认密码123456!

识别出thinkrace

某个谷歌语法可能会帮你找到一些设备:

66.png

77.png

某些追踪器也有Web应用,如果看起来如下所示,那可能也是thinkrace:

88.png

其实搜索设备很简单,只需在GetDeviceDetail这个API中输入设备ID,你就能看到设备上的所有细节。由于授权有缺陷,你可以检索任何孩子的数据,也就是2000万儿童的数据。

99.png

你可以通过设备的Lat/Long来确定设备的位置,通过设备的电话号码和“家庭号码”来确定国家:

100.png

残疾运动员的安全问题

今年早些时候,他们还赞助了特奥会和残奥会。每个运动员都有一个追踪手表,这样让那些脆弱的成年人时刻处于安全风险之中。

110.png

他们的主页上运动员的手腕上也是一款问题手表:

120.png

影响范围

thinkrace大概生产367种不同类型的追踪手表和追踪器,很难确定所有和thinkrace相关的产品,而其中一些产品还有相机功能。

130.png

下面是一些有问题设备的关键词列表。不幸的是,这些经常被进口商或品牌所有者更改。

140.png

不过这些产品并没有连接到同一个公共API。根据产品和进口商/分销商的不同,有80多个域名牵涉其中,部分如下图所示。

150.png

经过分析,我们发现它们几乎都是thinkrace API端点。针对这种情况,我们认为thinkrace的代码可能已经被其他厂商借用或“盗用”,依旧存在很多问题。这些代码编写于2012年,newgps2012表明了这一事实。

5gcity

前不久,我们研究了5gcity.com——另一个与ThinkRace API相关的域。它大约有500万用户,主要和儿童追踪手表有关。

他们的一个Web服务器还公开了数千个.amr文件:

160.png

我们相信这些是儿童使用手表向家长所发送的信息和语音。

5gcity的漏洞与我们在thinkrace API中发现的漏洞相同:

重置任何用户密码,劫持帐户


完全访问源代码


暴力枚举用户,泄露儿童和家长的信息


向任何设备发送命令,远程刷新固件


跟踪任何设备


音频泄漏倒是一个新漏洞!

更多的thinkrace API

www.goicar.net——大约300万个跟踪设备。

www.gps958.net——大约有100万台活跃设备。

和thinkrace无关的域名

www.gpsui.net——大约有一百万台活跃设备。

我们尽可能全地估算这些域名牵涉的设备数量。到目前为止,和thinkrace有关的,已有2000多万。通过进一步挖掘,我们又在其他ODM API上发现了2700万个设备。不过,我们认为这只是冰山一角。

另一个例子:Gator/Caref手表公司

我们曾经报道过另一家公司的安全事件:这与thinkrace性质一样,但规模要小得多。

同样,复杂的ODM分销商关系使得Gator手表的识别变得非常困难。例如澳大利亚进口商将手表重新命名为TicTocTrack。但在英国,它被称为TechSixtyFour。

还有另一个我们正在调查的ODM平台,牵涉1亿台设备。

披露

多年以来,许多其他研究人员都试图联系thinkrace,但都没有结果。

冰岛数据保护局已禁止了一些和thinkrace相关手表地销售,但真的能完全禁止么?

德国电信监管机构Bundesnetzagentur也在2017年封禁许多儿童智能手表。

据报道,各种智能手表的安全问题已被现实社会中地犯罪分子所利用,我们必须立刻采取行动。某些厂商也已对自己的API端点进行了加固。

利用:赢得Eurovision和The X-Factor

每个GPS跟踪器都有一个SIM卡。追踪器需要SIM卡才能通过移动数据与API通信:

170.png

那我们怎么利用呢?

由于API的某些漏洞,可以让追踪器拨号或发送短消息。

电话投票

在选秀节目中进行电话投票是一种简单有效的投票方式。许多知名度高的节目都是如此,例如Eurovision、X-Factor、Stricly Come Dancing等,通常都有一个短拨代码来代表你的选择。拨号一次,你的选票就会被计算在内。

英国能否通过电话投票赢得Eurovision?手表SIM卡所发出的拨号能不能把英国推到电话投票的首位?为了投英国的票,你需要控制其他参与投票地国家的SIM卡。

挪威在电话投票中名列前茅:

180.png

但在评委投票只位列18:

190.png

综合下来荷兰第一。

200.png

其他

英国广播公司曾报道,俄罗斯语音之声在今年5月发现大量可疑投票。目前尚不清楚怎么回事,但怀疑是机器人投票。

攻击者使用连续号码不停拨打电话并从同一个区域发送数千条短信。这些投票最后都被作废。

要保持智能手表的安全,需要社会各界的合作。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.pentestpartners.com/security-blog/kids-tracker-watches-cloudpets-exploiting-athletes-and-hijacking-reality-tv/

最新评论

昵称
邮箱
提交评论