Consumentenbond waarschuwt voor onveilige gps-kinderhorloges

De Consumentenbond waarschuwt op basis van een onderzoek dat de Noorse zusterorganisatie Forbrukerrådet heeft laten uitvoeren, voor onveilige kinderhorloges met gps. Die laten onbekenden bijvoorbeeld de locatie van kinderen volgen.

De Noorse organisatie onderzocht vier modellen, waarvan er twee in Nederland worden verkocht. Het gaat om de Gator 2 en horloges die gebruikmaken van de SeTracker-app. Dat zijn verschillende horloges, meldt de Consumentenbond op basis van het Noorse onderzoek. De organisatie heeft Nederlandse winkels die de horloges verkopen, gevraagd om de desbetreffende modellen uit de handel te nemen. De verkoper van Gator zou dit hebben toegezegd. Ook zijn toezichthouders, waaronder de Autoriteit Persoonsgegevens en de ACM, op de hoogte gebracht.

Met betrekking tot het horloge van het Chinese Gator wees het onderzoek uit dat een persoon een nieuwe telefoon aan het apparaat kan koppelen, zonder dat het kind of de ouders hier iets van merken. Daardoor kan de locatie van het kind vervolgens bijgehouden worden. Daarvoor is het imei-nummer vereist, dat volgens het onderzoek op vier manieren achterhaald kan worden. Drie daarvan vereisen geen fysieke toegang, maar worden om veiligheidsredenen niet in het rapport genoemd.

Daarnaast verstuurt het horloge locatiegegevens zonder encryptie en werkt de aanwezige sos-knop niet altijd. Ook is de geofencingfunctie gebrekkig en geeft het Chinese bedrijf geen inzage in zijn privacybeleid. Over de horloges die met SeTracker werken, schrijft de Consumentenbond dat van tevoren niet altijd duidelijk is welke modellen dat zijn. Zo zijn de apparaten onder verschillende benamingen te koop.

De app bleek eveneens gebrekkig doordat met het imei-nummer locatiegegevens aangepast kunnen worden. Daarnaast slaat het apparaat locatiedata en cookies zonder versleuteling op en kan het gebruikt worden om de omgeving af te luisteren. De Consumentenbond adviseert de genoemde horloges niet te kopen en het eventuele gebruik ervan te staken.

IT-banen

Reacties (100)

GORby 18 oktober 2017 10:40

Tsja, het nut van zo'n dingen is dan ook alleen maar de gemoedsrust van overbezorgde helicopterouders, die ten allen tijde willen zien waar het uurwerk zich bevindt. Waarschijnlijk omdat ze bezorgd zijn dat hun kind meegenomen wordt door een vreemde, terwijl degenen die zich daarmee bezig houden waarschijnlijk wel weten dat dergelijke toestellen bestaan en ze zullen verwijderen.

Dat wil op zich niet zeggen dat het delen van locatie niet handig kan zijn, maar dan wel op een doordachte manier. Wij delen onze locatie binnen het gezin ook onderling via de smartphones, met wederzijdse toestemming, wat vaak handig is, maar niet gebruikt wordt als controlemiddel.
Waarvoor het wel gebruikt wordt is bijvoorbeeld om te zien wie het best de kinderen gaat oppikken, kinderen die kunnen zien wanneer we bijna bij de opvang zijn zodat ze naar buiten kunnen komen. We kunnen het ook makkelijk (al dan niet tijdelijk) uizetten, maar dat is voor zover ik weet nog niet gebeurd, aangezien het in onderling overleg aangezet is.

vrow @GORby • 19 oktober 2017 00:15

Ja, maar ben je nu voor of tegen? Eerst zeg je dat locatietracken alleen iets is voor overbezorgde ouders met helicopters, maar vervolgens zeg je dat het toch wel handig is omdat je erover na hebt gedacht? Dus jouw kinderen kijken op de bso de hele tijd op hun smartphone om te kijken of jij al voor de deur staat zodat jij niet naar binnen hoeft? Dan kun je ook gewoon een sms sturen toch?
Het lijkt mij juist wel handig als ‘controlemiddel’. Normaal gesproken bel je even als je bij een vriendinnetje bent aangekomen, nu kunnen ouders het zelf bekijken. Valt toch in dezelfde categorie want jij kan ook de bso bellen of toeteren of gewoon ouderwets naar binnen lopen en nog even met de leuke juf praten over de kinderen...

GORby @vrow • 19 oktober 2017 08:14

Daar was ik dus niet echt duidelijk in... Die uurwerken, die vooral gepromoot worden naar bezorgde ouders, daar ben ik vooral tegen omdat ze een vals gevoel van veiligheid geven.

Wanneer ik ze ophaal op de opvang, stel ik mijn navigatie in, en deel ik real-time mijn locatie. Vervolgens stuur ik 10 a 15m voor ik aankom een bericht (lang leve spraakherkenning

), zodat ze nog kunnen afmaken waarmee ze bezig zijn en op jun gemak naar buiten kunnen komen wanneer ik er ben. Afhankelijk van hoeveel tijd ik heb, ga ik naar binnen of niet, maar da's weer een gedoe met parkeertickets en parking vinden. Stilstaan kan daar bijna altijd, parkeren is soms moeilijk. Sinds we dat zo ingevoerd hebben, is het een stuk meer relaxed

We gebruiken het bewust niet als 'controlemiddel', want ik vind vertrouwen heel belangrijk. Ik zou ook niet willen dat ze het gevoel krijgen dat er constant gekeken wordt waar ze zitten, want dat is niet zo, en dat is (bij ons in ieder geval) zeker niet de bedoeling. Al zit daar natuurlijk wel een verschil tussen het controleren of ze veilig aangekomen zijn (da's nog positief, en is zeker de eerste keren bij het alleen naar school fietsen wel eens gebruikt) en het controleren of ze wel zeggen dat ze zijn waar ze zeggen dat ze zijn (neen dank je, dat vind ik een kwestie van vertrouwen).

vrow @GORby • 19 oktober 2017 10:56

Ojee, betaald parkeren bij de BSO, ja, dat kennen we hier totaal niet. Nooit bij stilgestaan dat je zulke praktische problemen hebben kan!
Maar dan zijn we het eigenlijk wel gewoon eens: het is wel handig om zeker te weten dat iemand veilig is aangekomen, waar dan ook. Ik deel ook mijn locatie met min vrouw en andersom, maar we vragen elkaar echt niet aan het einde van de dag 'wat deed jij daar en daar' - als we het al weten want ik kijk eigenlijk alleen rond etenstijd of ze al bijna thuis is zodat ik weet wanneer het eten op tafel moet.

GORby @vrow • 19 oktober 2017 11:26

Da's inderdaad hetgeen waar we het ook voor gebruiken. Onze zoon was even geleden naar een vriendje gegaan na school, zonder daar op het moment zelf iets van te zeggen. Toen hij dat achteraf zei, en we lieten weten dat we toch liever hadden dat hij dat eerst aan ons liet weten, zei hij dat we toch konden zien waar hij zat

Toch nog maar eens opnieuw duidelijk gemaakt dat we dat daar niet voor gebruiken en dat we eigenlijk vrij zelden de locatie bekijken. Als hij dat natuurlijk liever wel zo wil, moet hij dat maar laten weten

Tyrian 18 oktober 2017 14:56

Ik vind het sowieso een beetje vreemd om je kind elektronisch te willen volgen. Of je gaat met je kind mee en houdt zijn/haar handje vast, of je maakt afspraken hoe/waar je kind heen zal gaan en geeft hem/haar wat vertrouwen mee. Alleen op die manier leer je je kind om op zijn eigen benen te staan. Maar ik zal wel ouderwets zijn hierin...

Becquerel @Tyrian • 18 oktober 2017 16:01

Er is wat voor te zeggen als de kinderen jonger zijn en de ouder alleen kijkt in situatie van nood.

Anoniem: 179216 18 oktober 2017 16:34

Het zal wel aan mij liggen, maar ligt de fout ook niet bij mensen die het blijkbaar nodig vinden hun kind met een GPS tracker uit te rusten?

Ik mag er nog niet aan denken dat mijn ouders vroeger elke minuut van de dag wisten waar ik was. En het was vroeger heus niet veiliger dan nu, wel integendeel ..

vrow @Anoniem: 179216 • 19 oktober 2017 00:17

Qua verkeer en sociale controle denk ik zeker wel dat het vroeger beter was.

Distrax1988 18 oktober 2017 10:13

Hier moet toch een 'keurmerk' voor komen, een ISO certificeren voor de consument.
We zijn met allerlei testjes, stempels en reviews bezig op het moment maar in de winkel geen enkel 'save sign' o.i.d.

Heb je dit keurmerk niet dan komt jou product gewoon niet in de schappen ook niet in een webwinkel, doe je dit wel; boete en de consument weet dat er niet zo streng gekeken wordt op security.

Bij Zero day bugs en of verouderde software gaat dit niet op, maar dit is gewoon het niet versleutelen van data en niet werkende functionaliteiten (sos knop)

Keurmerk krijg je als je bijvoorbeeld:
-Reguliere updates voor je product doorvoert.
-Security patches en analyses op je eigen omgeving loslaat.
-Uitvoerig getest is.
etc.

[Reactie gewijzigd door Distrax1988 op 22 juli 2024 17:26]

the_stickie @Distrax1988 • 18 oktober 2017 10:28

Er zijn wel wat haken en ogen aan zo'n "keurmerk". Ofwel volg je de principes van bijv. CE markeringen, waarbij elke producent op zijn communiezieltje belooft zijn best te doen, ofwel dat van ISO certifiëring, dat handevol geld en resources kost (en dus ook marktverstorend werkt)

Bovendien is het met technische zwakheden niet zo dat deze volledig uit te sluiten zijn, zelfs niet als alle betrokken partijen ervoor alles in de schaal werpen. Vandaar dat incidentmgmt juist zo belangrijk is. Als je het zo bekijkt wordt het duidelijk dat een artikel als hierboven juist sterktes aantoont ipv zwaktes. Het is heel goed dat consumentenorganisaties wereldwijd onafhankelijk produkten testen, die informatie delen en dat overheidsorganisaties stappen kunnen ondernemen om gefaalde produkten van de markt te halen en producenten terecht te wijzen.

Kortom: een certifcaat geeft misschien juist wel een vals gevoel van veiligheid.

eborn @the_stickie • 18 oktober 2017 11:02

Het alternatief is boetes. Bij een aantoonbare slechte security een boete ter hoogte van de complete omzet van dit product (omzet, geen winst). Dan gaan er maar een paar Chinese flutbedrijfjes failliet.
Dit is natuurlijk alleen te toetsen als er iets van een keurmerk is, waarin regels zijn vastgesteld. Maar dit hoeft dan niet vooraf getoetst te worden.

Het lastige is natuurlijk hoe je dat wereldwijd voor elkaar gaat krijgen dat die boetes ook geïnt worden. Ik heb soms het idee dat er voor elk rommelproduct (zoals goedkope webcams en dit soort gadgets) een apart Chinees bedrijfje wordt opgericht.

Icekiller2k6 @eborn • 18 oktober 2017 11:38

En jij denkt dat een Chinees bedrijf deze boete gaat betalen...?
Het moet dan naar een Chinese rechtbank en deze herkennen dan deze 'wetten' niet.. wat overigens hun goed recht is.

Enigste die je kunt pakken is de verkoper.

t link @Icekiller2k6 • 18 oktober 2017 17:29

Ik denk wel dat de overheid behoorlijk wat gewicht in de strijd kan gooien door sites als aliexpress te dreigen verbieden op ISP niveau als ze die producten nog blijven aanbieden op hun sites, gelukkig is dat ook weer ons goed recht

bilgy_no1

@Icekiller2k6 • 18 oktober 2017 20:30

Als het hier in de (digitale) schappen ligt is er een Europese importeur en een Europese retailer. Die zijn verantwoordelijk voor het leveren van een deugdelijk product en daar kun je de boete aan opleggen.

punthoofd @the_stickie • 18 oktober 2017 11:40

Mee eens.
Misschien nog wel even in de gaten houden hoe we consumenten organisaties controleren.

peidur @the_stickie • 18 oktober 2017 11:02

Daarbij wil ik optekenen dat met de internationale handel het voor consumenten ook nog eens gemakkelijk is zich te vergissen in dit keurmerk, omdat CE ook staat voor Chinese Export: omdat er veel CE-logo's geen officieel gekeurde producten zijn.

https://cemarking.net/chinese-export/

https://plazilla.com/page...ok-china-export-betekenen

Hierdoor kunnen consumenten overtuigd zijn van een gecertificeerd CE-product te kopen via een site als aliexpress, en toch producten te ontvangen van de kwaliteit zoals deze is waargenomen door de consumentenbond.

[Reactie gewijzigd door peidur op 22 juli 2024 17:26]

smiba @peidur • 18 oktober 2017 12:18

Zeer waarschijnlijk een hoax, nog nooit in het wild tegen gekomen en ik doe meer handel met de chinezen dan met Europa. Ze kunnen er sowieso gewoon over liegen want CE is namelijk self-certified

Veel europees spul heeft trouwens ook gewoon de spacing op het CE logo verkeerd, mogelijk is het hier ooit uit onstaan

[Reactie gewijzigd door smiba op 22 juli 2024 17:26]

Hansie9999 @smiba • 18 oktober 2017 12:25

Is geen hoax hoor,

hebben van nelectra (overkoepelende electrowinkel organizatie België) ook deze info gehad in het laatste infoblaadje,

is weer van de slimme chinezen , ipv illegaal het CE logo te gebruiken, hebben ze dus hun eigen legale CE logo om China Export aan te duiden, dus als je niet goed kijkt zie je gewoon CE, maar als je dan klacht zou indienen of zo, zijn ze in orde want het is de CE van China Export

Anoniem: 51637 @Hansie9999 • 18 oktober 2017 15:03

Is geen hoax hoor,

Is wel degelijk een hoax, volgens de CE-marking organisatie en de EU. Er bestaat geen 'China Export'-logo, het is niets meer dan mislukte namaak.

peidur @Anoniem: 51637 • 18 oktober 2017 16:07

Ik heb mijn reactie aangepast. Het verschil in logo tussen de europese CE-marking en Chinese Export was de wereld in geholpen als hoax.
Alsnog wordt er wel gebruik gemaakt van valse CE-markings, waardoor een product beoogt te voldoen aan de CE-vereisten, maar dit dus niet is.

Anoniem: 51637 @the_stickie • 18 oktober 2017 14:32

dat handevol geld en resources kost (en dus ook marktverstorend werkt

Het is niet marktverstorend als de markt er zelf (indirect) om vraagt.

t link @Anoniem: 51637 • 18 oktober 2017 17:32

marktverstorend heeft niet te maken met of hij vrij is of niet, meer met of het de gevestigde orde in de markt verstoord

the_stickie @Anoniem: 51637 • 18 oktober 2017 20:58

Dure keuringen en certificaten werken sowieso belemmerend voor nieuwe en kleine spelers.

PomPomPom @the_stickie • 18 oktober 2017 15:31

Dank voor de bondige uitleg van CE en ISO

kamerplant @Distrax1988 • 18 oktober 2017 10:27

Ik ben van mening dat er sprake is van een ondeugdelijk product indien security zo duidelijk niet in orde is - en niet wordt geüpdatet. Tegen ondeugdelijke producten hebben we al goede consumentenbescherming.

mrdemc @kamerplant • 18 oktober 2017 10:46

Heb je wat mij betreft helemaal gelijk in. Het lastige is daarmee dat het helaas dan niet van tevoren gecontroleerd wordt en er dus klaarblijkelijk bedrijven zijn die ook geen interesse hebben in het leveren van een degelijk product als het maar verkoopt. Een keuring van zulke producten voordat deze op de Europese markt komen zou dus naar mijn inziens niet misstaan. Al helemaal m.b.t. producten die gericht zijn op gebruik door kinderen.

Anoniem: 366402 @kamerplant • 18 oktober 2017 10:47

Dat is alleen achteraf.
Die dingen liggen nu in de schappen, dus er is niets dat voorkomt dat die dingen daar terecht komen.

Zeror

@Distrax1988 • 18 oktober 2017 10:18

Lijkt mij een prima idee. De vraag is wel op welke apparaten en gadgets je dit keurmerk voor gaat gebruiken.

Termin8r @Distrax1988 • 18 oktober 2017 10:25

Goed idee. Zoiets moet je wel Europees regelen, want nationale normen (en het bijbehorende handelsverbod als je er niet aan voldoet) zijn handelsbelemmerend en op basis van EU-regelgeving verboden. Dat moet dus op EU-niveau geharmoniseerd worden. Als dat eenmaal geregeld is geldt de CE-markering ook voor de digitale veiligheid van producten.

Helaas werkt de EU bij dit soort dingen niet zo snel - gaat nog wel wat jaren duren.

Jewest @Distrax1988 • 18 oktober 2017 10:57

Sorry maar een keurmerk is de "standaard" oplossing, overal een keurmerk voor.
Wil je een Jewest Keurmerk? Hier.... heb je er 1. goedgekeurd volgens de Jewest standaard.
Omdat je voldaan hebt in het nederlands te schrijven.
De Kema is een ander keurmerk, net zo waardevol als het Jewest keurmerk.

Er zou bij de CE markering een sectie moeten komen die de software veiligheid gegarandeerd.
Dat zou een oplossing zijn omdat bij CE de producent of importeur aansprakelijk is.

Loadjnt @Distrax1988 • 18 oktober 2017 11:34

Alibaba staat vol met dit soort artikelen, relatief goedkoop. Meestal made in china. Het doet ook nog eens min of meer waar het voor bedoeld is. Maar of het product veilig is staat nergens beschreven. Het is ook aan de consument om een verstandige keus te maken, is dit product veilig? Wat zijn de risico`s als ik dit product gebruik? Maar de meeste consumenten kijken daar het bedrag. €20,-? ach leuk koopje, wat voor risico loop ik daar nu bij?

Natuurlijk is een keurmerk belangrijk, maar dan is het nog aan de consument om in de gaten te houden of het product daadwerkelijk een keurmerk heeft.

Z80 @Distrax1988 • 18 oktober 2017 11:55

Je krijgt waarvoor je betaald.
Wil je meer veiligheid of updates? Dat kan. Moet je allen meer betalen.
En daar zit het grootste probleem. Voor een dubbeltje op de eerste rang willen zitten, en vervolgens klagen dat je tegen een paal aan zit te kijken.

skatebiker @Distrax1988 • 18 oktober 2017 12:12

En nog een: NIET standaard met openbare internet verbonden en zeker niet 24/7, tenzij de gebruiker er expliciet om vraagt.
Dat is nog altijd het grootste veiligheidslek: apparaten / databases, enz. die zonder zich af te vragen waarom, klakkeloos met internet verbonden worden.

Aaargh! @Distrax1988 • 18 oktober 2017 10:29

Dat keurmerk dat jij wilt klinkt wel heel erg als ISO 27001

Anoniem: 366402 @Aaargh! • 18 oktober 2017 10:53

ISO 27001 zeg iets over bedrijfsprocessen omtrend informatiebeveiliging. Het is geen keurmerk.
Een ISO 27001 vermelding zegt dat het bedrijf zijn incidentmanagement in orde heeft en security problemen goed oppakt. Het zegt niets over het product, of dat getoetst is tegen bepaalde kwaliteitseisen ed.

Aaargh! @Anoniem: 366402 • 18 oktober 2017 11:07

Het zegt niets over het product, of dat getoetst is tegen bepaalde kwaliteitseisen ed.

Het is een onderdeel ervan. Je identificeert risico's en stelt procedures in om die te beperken, je producten niet op orde hebben is een van die risico's, informatie van klanten lekken, ongeoorloofde toegang tot je diensten (wat hier dus gebeurt), etc. zou hier allemaal onder vallen.

Blokker_1999

Netwerk en systeembeheer
Privacy

@Distrax1988 • 18 oktober 2017 10:28

Maar wie bepaald wat veilig is? En wat met bugs? Een keurmerk is leuk maar gaat imho hier vooral een vals gevoel van veiligheid geven en de mensen die hun kinderen dit soort producten aandoen houden blijkbaar van zo een vals gevoel.

Ke spreekt over updates, maar wat als je na enkele jaren zo een product uit de budgetbak haalt? Wat als je het koppt op het einde van de ondersteuningscyclus? Wat als de fabrikant ondertussen failliet gaat? Neen, een keurmerk heeft hier niet veel te zoeken volgens mij.

jqv @Blokker_1999 • 18 oktober 2017 10:52

En zo kunnen we van alles beredeneren waarom je iets niet moet doen.
En dan gebeurt er ook niets.

Je hebt plausibele redenen, maar zie het als iets voor in de toekomst. Vanaf nu voldoet alles aan de eis. Anders wordt de verkoop niet meer toegestaan. Ook niet in de budgetbak.

Wordt het verkocht, dan voldoe je aan de eis. Budgetbak of end of cyclus? Updaten of uit de handel ermee.

killzonex @jqv • 18 oktober 2017 11:01

Goede reden voor bedrijven alles duurder te maken want hey we hebben een CE keuring erop....

jqv @killzonex • 18 oktober 2017 11:18

Het is geen keuring maar een keurmerk.
De fabrikanten moeten er zelf op toezien dat ze eraan voldoen.

En tja. Prijzen...alles is een excuus om wat meetlr winst te maken.

bilgy_no1

@Distrax1988 • 18 oktober 2017 20:40

Je hebt natuurlijk wettelijke eisen voor de toelating van bepaalde producten op de markt. Het is best lastig om dat voor dit issue te bepalen.

Daarnaast zijn er keurmerken van private organisaties, zoals Max Havelaar, UTZ etc. Daar is geen wetswijziging voor nodig; je kunt er direct mee aan de slag. Bedrijven die zulke keurmerken willen voeren moeten voldoen aan bepaalde eisen en betalen iets aan de keurmerkorganisatie. Verder worden ze meestal ge-audit op het volgen van de richtlijnen en procedures, transparantie etc.

Misschien iets voor Bits of Freedom en soortgelijke groepen: een Digital Safety keurmerk, met als vereisten een minimale updategarantie, implementatie van best practices omtrent security etc.

RogerWilco2 @Distrax1988 • 19 oktober 2017 07:08

Ik zou best voor een Internet-of-things keurmerk zijn.

In mijn ervaring hebben een heleboel hardware fabrikanten hier gewoon geen kaas van gegeten. Het komt niet bij ze op.

teek2

18 oktober 2017 11:19

What Would It Look Like If We Put Warnings on IoT Devices Like We Do Cigarette Packets?
https://www.troyhunt.com/...-we-do-cigarette-packets/

bazs2000 @teek2 • 18 oktober 2017 12:16

De hele pagina gelezen en het klopt voor de volle 100%. De lijst met onbeveiligde 'handige' apparaten is praktisch eindeloos omdat ze maar blijven uitkomen. Voor de apparaten die al 'lek' zijn komen nagenoeg geen fixes en men kan kiezen uit weggooien of doorgaan met gebruiken. Mensen die het hebben blijven het gebruiken want ze hebben er geld aan uitgegeven maar gooien ondertussen van alles over zichzelf te grabbel.

De risico's blijven ook onderbelicht. Op techsites wordt er wel aandacht aan geschonken maar ook daar zie je mensen die vinden dat ze niets te verbergen hebben of dat het nut groter is dan het kwaad. Ook op sites als nu.nl worden hier artikelen over geplaats alleen de doelgroep die daar komt weet nog minder over beveiliging. Ik weet niet wat een goede manier zou zijn om mensen ervan bewust te maken dat beveiliging belangrijker is dan al het andere maar er moet zeker iets mee worden gedaan. Over pak hem beet 5 jaar zijn er nog vele apparaten bijgekomen die lek zijn en nog kent dan bijna niemand de risico's.

Ik koop per definitie geen apparaten die alleen werken wanneer er een internetverbinding of dienst nodig is om te functioneren. Apparaten die ik wel veilig acht kan ik zelf instellen en poorten kan ik zelf dichtzetten. Misschien ben ik een beetje een dinosaurus op dat vlak maar hoeveel voorbeelden moeten er nog komen?

JapyDooge @teek2 • 18 oktober 2017 14:20

Vet goed spul wat jij rookt, mag ik ook een beetje?

En meer on-topic:
Het is natuurlijk idioot dat dit soort producten zo onveilig in elkaar steken, maar dat is niet anders met bijv. de tablets die winkels als de Kruidvat verkopen.
Dit is 1 op 1 geïmporteerde rommel van zo goedkoop mogelijke kwaliteit die door een Nederlandse importeur enkel verscheept worden.

Hetzelfde met kind-vriendelijke telefoons, enz..

En dan denk je dat het beperkt blijft tot de goedkope troep, maar ook VTech (een groot merk in technologie voor kinderen) heeft dergelijke blunders gehad: nieuws: VTech-hack betrof profielen van 6,4 miljoen kinderen in plaats van 20...

mkessels 18 oktober 2017 10:43

Ik heb zelf zo'n tracker, en ik vraag me toch af of er echt een risico is, zeker als je het vergelijkt met de situatie waarbij er uberhaupt geen tracker gebruikt wordt.
Ik vraag me af of een aanvaller al deze moeite zou doen, en niet eenvoudig naar de plaatselijke speeltuin zou gaan, en op zoek gaan naar kinderen zonder tracker.... Per slot van rekening is zo'n tracker ook door de politie op te sporen door triagulatie op de zendmasten.
Ik heb het protocol van de tracker bekeken, en het is inderdaad slecht beveiligd. Echter, je dient wel het telefoonnummer van deze tracker te weten, wil je er iets mee kunnen beginnen. Zolang dit nummer niet bekend is bij een aanvaller, loopt mij kind dus geen (extra) gevaar.
De vraag is nu of de server waarmee de tracker contact maakt, zo slecht is beveiligd dat het makkelijk te achterhalen is welke telefoonnummers gebruikt worden op de tracker(s). In dat geval zou een aanvaller dus inderdaad op zoek kunnen gaan naar een tracker op een specifieke locatie, en dan de tracker kunnen aanpassen, zoals in het filmpje beschreven.

Joever @mkessels • 18 oktober 2017 10:59

Ik vraag me af of een aanvaller al deze moeite zou doen, en niet eenvoudig naar de plaatselijke speeltuin zou gaan, en op zoek gaan naar kinderen zonder tracker.... Per slot van rekening is zo'n tracker ook door de politie op te sporen door triagulatie op de zendmasten.

Mocht er inderdaad een aanvaller zijn die hier raadt mee weet, kan hij zodoende wel je kind volgens totdat hij/zij een locatie weet te vinden waar je kind is zonder direct toezicht. De aanvaller weet dan ook dat zodra hij je kind te pakken heeft, hij het horloge z.s.m. van je kind zijn pols af moet halen. De politie kan er dan niets mee behalve bepalen wat de locatie is waar het kind ontvoerd is.

Ik zou zelf het risico niet nemen eerlijk gezegd.

vrow @Joever • 19 oktober 2017 00:03

Ja, theoretisch is dat misschien waar. In de praktijk echt niet. Ik denk dat er geen technisch onderlegde kinderlokker is die op deze manier kinderen gaat volgen om te kijken wanneer ze alleen zijn. Want hoe weet je dat nu weer? Je ziet tenslotte andere mensen niet op je kaartje. Nee, mensen die kwaad willen volgen je kind gewoon totdat hij/zij alleen is. Neemt niet weg dat dit soort dingen dus wel wat beter beveiligd zouden moeten zijn, maar ik geloof er dus niets van dat anderen echt op deze manier je willen gaan volgen.

Joever @vrow • 19 oktober 2017 12:02

Hoe zo zou dit in die praktijk 'echt' niet kunnen? Als een kinderlokker technisch onderlegd is, en dit voor hem een tool is om kinderen te kunnen volgen, waarom zou dat volgens jou dan niet kunnen? Als hij een kind zou volgen met dit horloge dan weet hij A waar het kind op school zit en B waar het kind woont door dit op een langere periode te controleren. Sommige kinderen, die niet ver van school wonen, doen dit zonder hun ouders. Als de kinderlokker op deze manier kan zien hoe het kind dagelijks naar huis loopt, kan hij ook de beste plek uitzoeken om het kind te ontvoeren.

Voor kinderlokker die hun aanval van de voren plannen lijkt mij dit juist een uitstekend middel om dat te kunnen doen. Je geeft aan dat andere echt niet op de manier iemand gaan volgen en dat i.p.v. van met een hulpmiddel, dit met hun fysieke aanwezigheid doen. Ik zie de logica echt niet. Als een kinderlokker technisch onderlegd is en de keuze heeft uit A) ik volg het kind fysiek, met de kans dat ik gezien word door camera's omwonende etc of

ik volg het kind (of wellicht wel meerdere kinderen) vanuit mijn eigen huis via het horloge en ga pas fysiek kijken als ik al voldoende informatie heb verkregen via het op afstand volgen (om te zien of het kind alleen is). Het lijkt mij dat hij/zij dan voor optie B zal gaan.

Je ziet tenslotte andere mensen niet op je kaartje.

Waarom zou dit niet kunnen?

Wellicht dat ik de mogelijkheden van de hack niet goed begrijp, maar het enige wat ik tot nu toe lees is dat 'onbekende het kind daadwerkelijk kunnen volgen' (in het artikel) om vervolgens te lezen dat kinderlokkers dit `handige` tooltje in de praktijk niet zullen gebruiken.

vrow @Joever • 19 oktober 2017 17:10

Ja, wat ik bedoel: je ziet op je plattegrond alleen het kind, geen andere mensen. Dus je weet niet of een kind alleen is op zo'n moment of dat er nog 20 andere mensen omheen lopen.
Als ik echt iemand wil ontvoeren, loop ik achter diegene aan en wacht totdat we op een plek zijn waar er verder niemand is. Dan zit ik niet thuis achter de computer, wacht totdat het kind ergens op een plek is waarvan ik geen idee heb hoe druk het daar is, spring dan opeens in de auto en rij er gauw heen in de hoop dat het kind daar nog staat en er niemand en de buurt is. En waarom zou mijn auto dan opeens niet opgenomen worden door de camera's in de buurt? Ik rij dan toch nog steeds naar dat kind toe?

Nee, dit is volgens mij echt een theoretisch gevaar wat het ook goed doet in de nieuwste aflevering van CSI Cyber maar ik geloof echt niet dat er ook maar iemand op deze manier te werk gaat.
Dit is hetzelfde als een elektronisch deurslot wat misschien vatbaar kan zijn voor een replay-attack. Dat is niet goed en moet niet kunnen, maar een echte inbreker heeft gewoon zo'n 'slotschroevendraaier' of slaat je raampje in.
Of mensen die zeggen dat het gevaarlijk is je deur van 't slot te hebben als je gewoon thuis bent overdag. Ja, natuurlijk kan er iemand naar binnen lopen dan - MAAR de meeste boeven bellen gewoon aan en overrompelen je dan :-)

Becquerel @mkessels • 18 oktober 2017 15:55

Ik heb geen idee hoe die dingen werken, maar een telefoon nummer is waarschijnlijk een 06 nummer, en daar heb je zo door heen gelooped. Maar het argument staat, zolang niet ieder kind het heeft, is het makkelijker om die zonder te pakken voor potentiele daders en zit je inderdaad waarschijnlijk goed door een tracker aan ze te geven.

Laptom 18 oktober 2017 10:42

Welke typen zijn dan wel goed? Dat kan ik dan weer niet zo snel terugvinden...

novasurp @Laptom • 18 oktober 2017 13:57

Gewoon "Locatie Delen" in Google Maps

twslex 18 oktober 2017 10:55

Voor de beter hobbist, emei tracker bouwen: https://www.theverge.com/...-sniffer-gsm-imsi-catcher

teek2

18 oktober 2017 11:03

Nu is het wachten op een hacker/pedo die zichzelf toegang verschaft tot de realtime info van al die watches. Deze hacker/pedo kan dan een scriptje schrijven wat de data parsed en kinderen in de buurt monitoren/labelen die op plekken lopen waar ze uit het zicht makkelijk meegenomen kunnen worden. Uit hun snelheid kan hij afleiden of ze lopen, fietsen of in een auto zitten. Zo wordt het een kwestie van een mooi punt uitzoeken met je bus om kinderen in te laden nadat je hun watch hebt weggegooid.

Dus eigenlijk moet je, als je je kind zo'n gps watch geeft, ze continue in de gaten houden, wat dan weer een beetje het doel van de watch teniet doet. Mja, over een paar jaar weten we of het slim was je kind te tracken of niet.

Wat nog mooier voor Mr. hacker/pedo zou zijn, als een kind ook en slim speeltje heeft met bluetooth, dan kan hij of zij ze door dat speeltje tegen ze te laten praten naar buiten lokken. Ongekende kansen biedt al dat "smart spul".

[Reactie gewijzigd door teek2 op 22 juli 2024 17:26]

Becquerel @teek2 • 18 oktober 2017 15:59

Creepy doll is veel effectiever

http://dangerousprototype...debuts-at-blackhatdefcon/