Esta historia trata sobre cómo quería hacer la vida de mi hijo un poco más segura con la ayuda de las nuevas tecnologías y lo que surgió de ella. Aunque el título, creo, ya has adivinado lo que se discutirá.
Se acercaba el 1 de septiembre y yo, como padre del futuro alumno de primer grado, me preguntaba cómo hacer que los primeros días de mi hijo en la escuela fueran lo más tranquilos posible para él y para mi esposa y para mí.
Creo que no hay persona que no haya oído hablar de un dispositivo tan nuevo como el reloj inteligente para niños. El mercado simplemente está inundado de numerosas opciones de dispositivos, generalmente hechas en China. Los precios y la funcionalidad de estos dispositivos varían, pero los mejores incluyen una amplia gama de funciones como teléfono, rastreador GPS, mensajería, cámara, podómetro y, por supuesto, el reloj. Según los fabricantes, este dispositivo está diseñado específicamente para niños e incluye características de seguridad para niños. Entonces pensé, así que comencé a elegir la opción apropiada en Internet. Como resultado, compré un reloj FixiTime 3 de Elari .
La funcionalidad de este reloj fue impresionante:
- GPS / LBS / seguimiento de Wi-Fi
- 2 cámaras, acceso a la cámara del reloj desde un teléfono inteligente conectado
- soporte para llamadas de voz entrantes y salientes, incluidas las ocultas
- chat de voz
- podómetro
- Bueno, arreglos adentro, como sin ellos
Todo este rico conjunto de características de reloj convence a los padres de que obtienen, si no están completos, un control bastante sustancial sobre su hijo. Pero, por otro lado, los dispositivos con dicha funcionalidad deberían proteger de manera confiable los datos de sus usuarios. Además, esos usuarios son niños. Da miedo imaginar qué podría pasar si un atacante obtiene acceso al dispositivo de un niño y puede monitorearlo.
Atormentado por tales pensamientos, decidí comprobar qué tan seguro es usar los relojes que compré.
Después de instalar la aplicación Elari SafeFamily de Apple Store y agregarle el reloj mediante un código QR, inicié Fiddler en mi computadora portátil y comencé a analizar el tráfico. La aplicación envió datos al servidor http://wherecom.com . Lo primero que noté fue que se usó el protocolo HTTP habitual, no había cifrado de tráfico, ni HTTPS ni SSL Pinning . Un pensamiento alarmante se apoderó de mí de que el asunto no terminaría allí.
Y así resultó. Continuando analizando solicitudes y sustituyendo parámetros en ellas, descubrí la primera vulnerabilidad. Entonces, solicite a
http://api.wherecom.com:8099/umeox/api/holder/detail.json?holderId=111111&monitorId=222222
: , , , , , , , — QR . , , . , monitorId , .
, , .
, , , GPS , (, , ). QR . , QR , , . , .
, , API , .
, , , , , . Elari, , Wherecom.
, , phpMyAdmin, phpinfo.
. , , . , , ? , . , , , .
, , Wherecom technology limited. , , Science & Technology Development Institute of China. , , , , . , , , . , .
, . Elari. , , .
Wherecom, . Facebook Wherecom, -, Linkedin Wherecom. , , , .
. API. , - , .
, , , HTTPS SSL Pinning . , . , . . .
Upd. 04.09.2018
HTTPS, SSL Pinning .