تدور هذه القصة حول كيف أردت أن أجعل حياة طفلي أكثر أمانًا بمساعدة التقنيات الجديدة وما جاء بها. على الرغم من أن العنوان ، أعتقد ، لقد خمنت بالفعل ما سيتم مناقشته.
كان الأول من سبتمبر يقترب ، وأنا بصفتي والد طالب الصف الأول المستقبلي ، تساءلت عن كيفية جعل الأيام الأولى لطفلي في المدرسة تذهب بهدوء قدر الإمكان له ولزوجتي وأنا.
أعتقد أنه لا يوجد شخص لم يسمع عن أداة جديدة مثل الساعة الذكية للأطفال. السوق غارق ببساطة بالعديد من خيارات الأجهزة ، عادة ما يتم تصنيعها في الصين. تختلف أسعار ووظائف هذه الأجهزة ، ولكن أفضلها تشمل مجموعة واسعة من الوظائف مثل الهاتف ، تعقب GPS ، المراسلة الفورية ، الكاميرا ، عداد الخطى ، وبالطبع على مدار الساعة. وفقًا للمصنعين ، تم تصميم هذه الأداة خصيصًا للأطفال وتتضمن ميزات أمان الطفل. لذلك فكرت ، لذلك بدأت في اختيار الخيار المناسب على الإنترنت. ونتيجة لذلك ، اشتريت ساعة FixiTime 3 من Elari .
كانت وظيفة هذه الساعة مثيرة للإعجاب:
- تتبع GPS / LBS / Wi-Fi
- 2 كاميرا ، الوصول إلى كاميرا الساعة من هاتف ذكي متصل
- دعم المكالمات الصوتية الواردة والصادرة ، بما في ذلك المخفية
- محادثة صوتية
- عداد الخطى
- حسنا ، Fixies بالداخل ، كما بدونها
كل هذه المجموعة الغنية من الساعات تقنع الآباء بأنهم يحصلون ، إذا لم يكتملوا ، على تحكم كبير في طفلهم. ولكن ، من ناحية أخرى ، يجب أن تحمي الأجهزة التي تحتوي على هذه الوظيفة بشكل موثوق بيانات مستخدميها. علاوة على ذلك ، فإن هؤلاء المستخدمين هم من الأطفال. من المخيف تخيل ما يمكن أن يحدث إذا تمكن مهاجم من الوصول إلى جهاز طفل ويمكنه مراقبته.
بعد أن عانيت من هذه الأفكار ، قررت التحقق من مدى أمان استخدام الساعات التي اشتريتها.
بعد أن قمت بتثبيت تطبيق Elari SafeFamily من متجر Apple Store وأضفت الساعة عبر رمز الاستجابة السريعة إليه ، أطلقت Fiddler على جهاز الكمبيوتر المحمول الخاص بي وبدأت في تحليل حركة المرور. أرسل التطبيق البيانات إلى الخادم http://wherecom.com . أول شيء لاحظته هو أنه تم استخدام بروتوكول HTTP المعتاد ، ولم يكن هناك تشفير لحركة المرور ، ولا HTTPS أو SSL Pinning . تسللت لي فكرة مقلقة مفادها أن الأمر لن ينتهي عند هذا الحد.
وهكذا اتضح. من خلال الاستمرار في تحليل الطلبات واستبدال المعلمات فيها ، اكتشفت أول نقطة ضعف. لذا ، طلب في
http://api.wherecom.com:8099/umeox/api/holder/detail.json?holderId=111111&monitorId=222222
: , , , , , , , — QR . , , . , monitorId , .
, , .
, , , GPS , (, , ). QR . , QR , , . , .
, , API , .
, , , , , . Elari, , Wherecom.
, , phpMyAdmin, phpinfo.
. , , . , , ? , . , , , .
, , Wherecom technology limited. , , Science & Technology Development Institute of China. , , , , . , , , . , .
, . Elari. , , .
Wherecom, . Facebook Wherecom, -, Linkedin Wherecom. , , , .
. API. , - , .
, , , HTTPS SSL Pinning . , . , . . .
Upd. 04.09.2018
HTTPS, SSL Pinning .