Kisah ini adalah tentang bagaimana saya ingin membuat hidup anak saya sedikit lebih aman dengan bantuan teknologi baru dan apa yang terjadi. Meski judulnya, saya pikir, Anda sudah menebak apa yang akan dibahas.
1 September semakin dekat, dan aku, sebagai ayah dari anak kelas satu, bertanya-tanya bagaimana membuat hari-hari pertama anakku di sekolah berjalan setenang mungkin untuk dia dan istriku.
Saya pikir tidak ada orang yang belum pernah mendengar gadget baru seperti jam tangan anak-anak. Pasar dibanjiri dengan banyak pilihan perangkat, biasanya dibuat di Cina. Harga dan fungsionalitas perangkat ini bervariasi, tetapi yang terbaik dari mereka termasuk berbagai fungsi seperti telepon, pelacak GPS, messenger, kamera, pedometer, dan tentu saja jam. Menurut produsen, gadget ini dirancang khusus untuk anak-anak dan mencakup fitur keselamatan anak. Jadi saya pikir, jadi saya mulai memilih opsi yang sesuai di Internet. Alhasil, saya membeli jam tangan FixiTime 3 dari Elari .
Fungsi jam tangan ini sangat mengesankan:
- Pelacakan GPS / LBS / Wi-Fi
- 2 kamera, akses ke kamera arloji dari smartphone yang terhubung
- dukungan untuk panggilan suara masuk dan keluar, termasuk disembunyikan
- obrolan suara
- pedometer
- Nah, Fixies di dalam, karena tanpa mereka
Semua rangkaian jam tangan yang kaya ini meyakinkan orangtua bahwa mereka mendapatkan, jika tidak lengkap, maka kendali yang cukup substansial atas anak mereka. Tetapi, di sisi lain, perangkat dengan fungsi seperti itu harus secara andal melindungi data penggunanya. Apalagi pengguna tersebut adalah anak-anak. Menakutkan membayangkan apa yang bisa terjadi jika penyerang mendapatkan akses ke perangkat anak dan dapat memantaunya.
Tersiksa oleh pemikiran seperti itu, saya memutuskan untuk memeriksa seberapa aman menggunakan jam tangan yang saya beli.
Setelah saya menginstal aplikasi Elari SafeFamily dari Apple Store dan menambahkan arloji melalui kode QR, saya meluncurkan Fiddler di laptop saya dan mulai menganalisis lalu lintas. Aplikasi mengirim data ke server http://wherecom.com . Hal pertama yang saya perhatikan adalah protokol HTTP yang biasa digunakan, tidak ada enkripsi traffic, baik HTTPS maupun SSL Pinning . Sebuah pikiran yang mengkhawatirkan merayap dalam diriku bahwa masalah itu tidak akan berakhir di sana.
Dan ternyata. Terus menganalisis permintaan dan mengganti parameter di dalamnya, saya menemukan kerentanan pertama. Jadi, minta di
http://api.wherecom.com:8099/umeox/api/holder/detail.json?holderId=111111&monitorId=222222
: , , , , , , , โ QR . , , . , monitorId , .
, , .
, , , GPS , (, , ). QR . , QR , , . , .
, , API , .
, , , , , . Elari, , Wherecom.
, , phpMyAdmin, phpinfo.
. , , . , , ? , . , , , .
, , Wherecom technology limited. , , Science & Technology Development Institute of China. , , , , . , , , . , .
, . Elari. , , .
Wherecom, . Facebook Wherecom, -, Linkedin Wherecom. , , , .
. API. , - , .
, , , HTTPS SSL Pinning . , . , . . .
Upd. 04.09.2018
HTTPS, SSL Pinning .