Esta história é sobre como eu queria tornar a vida do meu filho um pouco mais segura com a ajuda de novas tecnologias e o que aconteceu com ela. Embora o título, eu acho, você já tenha adivinhado o que será discutido.
O dia 1º de setembro se aproximava e eu, como pai do futuro aluno do primeiro ano do ensino fundamental, imaginava como fazer com que os primeiros dias do meu filho na escola fossem o mais calmo possível para ele e para minha esposa e eu.
Penso que não existe uma pessoa que nunca tenha ouvido falar de um dispositivo tão novo como o relógio inteligente para crianças. O mercado é simplesmente inundado com inúmeras opções de dispositivos, geralmente fabricadas na China. Os preços e a funcionalidade desses dispositivos variam, mas os melhores incluem uma ampla variedade de funções como telefone, rastreador GPS, mensagens instantâneas, câmera, pedômetro e, claro, o relógio. Segundo os fabricantes, este gadget foi projetado especificamente para crianças e inclui recursos de segurança infantil. Então pensei, então comecei a escolher a opção apropriada na Internet. Como resultado, comprei um relógio FixiTime 3 da Elari .
A funcionalidade deste relógio foi impressionante:
- Rastreamento GPS / LBS / Wi-Fi
- 2 câmeras, acesso à câmera do relógio a partir de um smartphone conectado
- suporte para chamadas de voz recebidas e efetuadas, incluindo chamadas ocultas
- bate-papo por voz
- pedômetro
- Bem, Fixies dentro, como sem eles
Todo esse rico conjunto de recursos de relógio convence os pais de que, se não estiverem completos, obtêm um controle bastante substancial sobre seus filhos. Mas, por outro lado, os dispositivos com essa funcionalidade devem proteger de forma confiável os dados de seus usuários. Além disso, esses usuários são crianças. É assustador imaginar o que poderia acontecer se um invasor obtiver acesso ao dispositivo de uma criança e puder monitorá-lo.
Atormentado por tais pensamentos, decidi verificar como é seguro usar os relógios que comprei.
Depois de instalar o aplicativo Elari SafeFamily da Apple Store e adicionar o relógio via código QR, iniciei o Fiddler no meu laptop e comecei a analisar o tráfego. O aplicativo enviou dados para o servidor http://wherecom.com . A primeira coisa que notei foi que o protocolo HTTP usual era usado, não havia criptografia de tráfego, nem HTTPS nem SSL Pinning . Um pensamento alarmante tomou conta de mim que o assunto não terminaria aí.
E assim acabou. Continuando a analisar solicitações e substituindo parâmetros nelas, descobri a primeira vulnerabilidade. Então, solicite em
http://api.wherecom.com:8099/umeox/api/holder/detail.json?holderId=111111&monitorId=222222
: , , , , , , , — QR . , , . , monitorId , .
, , .
, , , GPS , (, , ). QR . , QR , , . , .
, , API , .
, , , , , . Elari, , Wherecom.
, , phpMyAdmin, phpinfo.
. , , . , , ? , . , , , .
, , Wherecom technology limited. , , Science & Technology Development Institute of China. , , , , . , , , . , .
, . Elari. , , .
Wherecom, . Facebook Wherecom, -, Linkedin Wherecom. , , , .
. API. , - , .
, , , HTTPS SSL Pinning . , . , . . .
Upd. 04.09.2018
HTTPS, SSL Pinning .