Een smartwatch die bedoeld is voor ouders om hun kind mee te kunnen monitoren, blijkt gegevens te lekken. Het zou mogelijk zijn om via het horloge van fabrikant Shenzhen Smart Care Technology (SMA) de locatie van kinderen te kunnen bepalen en ze af te luisteren.

De SMA-WATCH-M2 kost zo’n dertig euro en is bij diverse online webshops te koop. Via een simkaart fungeert het horloge als gps-tracker en kunnen ouders hun kind volgen, maar de beveiliging blijkt makkelijk te kraken. Duitse onderzoekers kregen het voor elkaar om toegang te krijgen tot locatiegegevens, telefoonnummers, foto's, gesprekken, namen, adresgegevens en leeftijden van vijfduizend kinderen.

Geen controle op authenticatietoken

De gps-horloges krijgen door een programmeerinterface, een zogenaamde API, toegang tot de server. Er wordt een authenticatietoken gegenereerd zodat de smartwatch met deze API kan communiceren. Dit is in principe een unieke token, zodat ongeautoriseerde toegang kan worden voorkomen. 

Dit werkt echter alleen als de server daadwerkelijk bij een verbindingspoging verifieert of het authenticatietoken correct is, maar dat blijkt niet te gebeuren. Zo is het mogelijk om gegevens van andere gebruikers op te vragen, ontdekten onderzoekers van het Duitse testlab AV-Test. Daar blijft het overigens niet bij: kwaadwillenden kunnen in theorie dus de huidige locatie van een kind achterhalen en kunnen vervolgens ook contact met de kinderen opnemen. Dat dit in potentie voor gevaarlijke situaties kan zorgen, behoeft geen nadere toelichting.

Nog geen oplossing

SMA is op de hoogte gesteld, maar de problemen zijn nog niet verholpen. 'En net als met de meeste Chinese IoT-producten (Internet of Things) die de Europese markt overspoelen is er voor het horloge geen privacybeleid dat aan de AVG voldoet, alleen een Chinese versie', zo stellen de onderzoekers.

Bron: Security.nl