Geekly articles weekly

Comment acheter l'illusion de la sécurité sous la forme de montres intelligentes pour enfants

Cette histoire raconte comment je voulais rendre la vie de mon enfant un peu plus sûre grùce aux nouvelles technologies et ce qui en est sorti. Bien que le titre, je pense, vous avez déjà deviné ce qui sera discuté.


Le 1er septembre approchait et moi, en tant que pÚre du futur élÚve de premiÚre année, je me demandais comment faire en sorte que les premiers jours de mon enfant à l'école se déroulent aussi calmement que possible pour lui et pour ma femme et moi.


Je pense qu'il n'y a personne qui n'a pas entendu parler d'un nouveau gadget comme une montre intelligente pour enfants. Le marché est simplement inondé de nombreuses options d'appareils, généralement fabriqués en Chine. Les prix et les fonctionnalités de ces appareils varient, mais les meilleurs d'entre eux incluent un large éventail de fonctions comme un téléphone, un tracker GPS, une messagerie instantanée, un appareil photo, un podomÚtre et bien sûr l'horloge. Selon les fabricants, ce gadget est spécialement conçu pour les enfants et comprend des fonctions de sécurité pour les enfants. Alors j'ai pensé, alors j'ai commencé à choisir l'option appropriée sur Internet. En conséquence, j'ai acheté une montre FixiTime 3 à Elari .


La fonctionnalité de cette montre était impressionnante:


  • Suivi GPS / LBS / Wi-Fi
  • 2 camĂ©ras, accĂšs Ă  la camĂ©ra de la montre depuis un smartphone connectĂ©
  • prise en charge des appels vocaux entrants et sortants, y compris les appels masquĂ©s
  • chat vocal
  • podomĂštre
  • Eh bien, les fixies Ă  l'intĂ©rieur, comme sans eux


Tout ce riche ensemble de fonctionnalitĂ©s de montre convainc les parents qu'ils obtiennent, sinon complet, un contrĂŽle assez important sur leur enfant. Mais, d'autre part, les appareils dotĂ©s de telles fonctionnalitĂ©s devraient protĂ©ger de maniĂšre fiable les donnĂ©es de leurs utilisateurs. De plus, ces utilisateurs sont des enfants. Il est effrayant d’imaginer ce qui pourrait arriver si un attaquant accĂšde Ă  l’appareil d’un enfant et peut le surveiller.


Tourmenté par de telles pensées, j'ai décidé de vérifier à quel point il est sûr d'utiliser les montres que j'ai achetées.


AprĂšs avoir installĂ© l'application Elari SafeFamily sur l'Apple Store et y avoir ajoutĂ© la montre via un code QR, j'ai lancĂ© Fiddler sur mon ordinateur portable et commencĂ© Ă  analyser le trafic. L'application a envoyĂ© des donnĂ©es au serveur http://wherecom.com . La premiĂšre chose que j'ai remarquĂ©e est que le protocole HTTP habituel a Ă©tĂ© utilisĂ©, il n'y avait pas de cryptage du trafic, ni HTTPS ni SSL Pinning . Une pensĂ©e alarmante s'est emparĂ©e de moi que l'affaire ne s'arrĂȘterait pas lĂ .


Et il s'est avĂ©rĂ©. En continuant Ă  analyser les requĂȘtes et Ă  y substituer des paramĂštres, j'ai dĂ©couvert la premiĂšre vulnĂ©rabilitĂ©. Alors, demandez Ă 


http://api.wherecom.com:8099/umeox/api/holder/detail.json?holderId=111111&monitorId=222222

: , , , , , , , — QR . , , . , monitorId , .



, , .



, , , GPS , (, , ). QR . , QR , , . , .


, , API , .


, , , , , . Elari, , Wherecom.


, , phpMyAdmin, phpinfo.



. , , . , , ? , . , , , .


, , Wherecom technology limited. , , Science & Technology Development Institute of China. , , , , . , , , . , .


, . Elari. , , .



Wherecom, . Facebook Wherecom, -, Linkedin Wherecom. , , , .


. API. , - , .


, , , HTTPS SSL Pinning . , . , . . .


Upd. 04.09.2018
HTTPS, SSL Pinning .

Source: https://habr.com/ru/post/fr418851/

More articles:


All Articles