In dieser Geschichte geht es darum, wie ich das Leben meines Kindes mit Hilfe neuer Technologien ein wenig sicherer machen wollte und was daraus wurde. Obwohl der Titel, denke ich, Sie bereits erraten haben, was besprochen wird.
Der 1. September rückte näher und ich als Vater des zukünftigen Erstklässlers fragte mich, wie ich die ersten Tage meines Kindes in der Schule für ihn, meine Frau und mich so ruhig wie möglich gestalten konnte.
Ich denke, dass es keine Person gibt, die noch nie von einem so neuen Gerät wie einer intelligenten Kinderuhr gehört hat. Der Markt ist einfach mit zahlreichen Geräteoptionen überflutet, die normalerweise in China hergestellt werden. Die Preise und Funktionen dieser Geräte variieren, aber die besten umfassen eine Vielzahl von Funktionen wie Telefon, GPS-Tracker, Instant Messenger, Kamera, Schrittzähler und natürlich die Uhr. Laut Hersteller wurde dieses Gerät speziell für Kinder entwickelt und enthält Sicherheitsfunktionen für Kinder. Also dachte ich, also fing ich an, die passende Option im Internet zu wählen. Aus diesem Grund habe ich bei Elari eine FixiTime 3-Uhr gekauft .
Die Funktionalität dieser Uhr war beeindruckend:
- GPS / LBS / Wi-Fi-Tracking
- 2 Kameras, Zugriff auf die Uhrenkamera von einem angeschlossenen Smartphone
- Unterstützung für eingehende und ausgehende Sprachanrufe, auch versteckte
- Voice-Chat
- Schrittzähler
- Nun, Fixies drinnen, wie ohne sie
All diese umfangreichen Uhrfunktionen überzeugen die Eltern davon, dass sie, wenn auch nicht vollständig, eine recht umfassende Kontrolle über ihr Kind erhalten. Andererseits sollten Geräte mit solchen Funktionen die Daten ihrer Benutzer zuverlässig schützen. Darüber hinaus sind solche Benutzer Kinder. Es ist beängstigend, sich vorzustellen, was passieren könnte, wenn ein Angreifer Zugriff auf das Gerät eines Kindes erhält und es überwachen kann.
Von solchen Gedanken gequält, beschloss ich zu prüfen, wie sicher es ist, die von mir gekauften Uhren zu benutzen.
Nachdem ich die Elari SafeFamily- Anwendung aus dem Apple Store installiert und die Uhr per QR-Code hinzugefügt hatte, startete ich Fiddler auf meinem Laptop und begann mit der Analyse des Datenverkehrs. Die Anwendung hat Daten an den Server http://wherecom.com gesendet. Das erste, was mir auffiel, war, dass das übliche HTTP-Protokoll verwendet wurde, es gab keine Verkehrsverschlüsselung, weder HTTPS noch SSL-Pinning . Ein alarmierender Gedanke schlich sich in mich ein, dass die Sache dort nicht enden würde.
Und so stellte sich heraus. Als ich die Anforderungen weiter analysierte und die darin enthaltenen Parameter ersetzte, entdeckte ich die erste Sicherheitsanfälligkeit. Also, bitte an
http://api.wherecom.com:8099/umeox/api/holder/detail.json?holderId=111111&monitorId=222222
: , , , , , , , — QR . , , . , monitorId , .
, , .
, , , GPS , (, , ). QR . , QR , , . , .
, , API , .
, , , , , . Elari, , Wherecom.
, , phpMyAdmin, phpinfo.
. , , . , , ? , . , , , .
, , Wherecom technology limited. , , Science & Technology Development Institute of China. , , , , . , , , . , .
, . Elari. , , .
Wherecom, . Facebook Wherecom, -, Linkedin Wherecom. , , , .
. API. , - , .
, , , HTTPS SSL Pinning . , . , . . .
Upd. 04.09.2018
HTTPS, SSL Pinning .