Beveiligingsbedrijf vindt weer lek dat toegang geeft tot data kindersmartwatches

Een beveiligingsbedrijf heeft weer een lek gevonden dat kwaadwillenden toegang had gegeven tot de data van tienduizenden smartwatches van kinderen. Het bleek mogelijk om als admin in te loggen op het webportaal van een fabrikant van kinderhorloges.

Door in het post-request bij het inloggen de waarde voor 'User(grade)' te veranderen van 1 naar 0, kregen gebruikers toegang tot de admin-omgeving van kindersmartwatchmaker Gator, meldt PenTestPartners. Vervolgens bleek het na een kleine wijziging mogelijk om de data in te zien van 35.000 smartwatches van kinderen bij 20.000 accounts. In de backend zat geen check of een gebruiker admin-rechten zou mogen hebben.

Dezelfde backend is volgens het beveiligingsbedrijf bij meerdere makers van smartwatches in gebruik. De maker van de smartwatches fixte het lek in eerste instantie niet, maar sloot het testaccount van het beveiligingsbedrijf af. In tweede instantie kwam er binnen een paar dagen wel een fix voor het lek.

De app maakt nu wel contact met de server via een beveiligde verbinding, iets dat eerder niet in orde was. Desondanks houdt het beveiligingsbedrijf vast aan het eerdere advies om geen goedkope smartwatch voor kinderen aan te schaffen, omdat de beveiliging over de hele linie niet in orde lijkt. Het is niet de eerste keer dat de backend grote kwetsbaarheden blijkt te bevatten. Eerder vond het bedrijf in 2017 al exploits.

Smartwatch-lek bij Gator, januari 2019Smartwatch-lek bij Gator, januari 2019

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 30-01-2019 17:50 29

30-01-2019 • 17:50

29

Lees meer

Online omgeving voor kinderen Animal Jam meldt datalek van 46 miljoen accounts
Online omgeving voor kinderen Animal Jam meldt datalek van 46 miljoen accounts Nieuws van 12 november 2020
'Nokia 7 Plus stuurde persoonlijke data naar Chinees staatsbedrijf'
'Nokia 7 Plus stuurde persoonlijke data naar Chinees staatsbedrijf' Nieuws van 21 maart 2019
Trakt.tv meldt dat het in 2014 een datalek had
Trakt.tv meldt dat het in 2014 een datalek had Nieuws van 7 februari 2019
Europese Commissie laat onveilig gps-horloge voor kinderen van de markt halen
Europese Commissie laat onveilig gps-horloge voor kinderen van de markt halen Nieuws van 4 februari 2019
Duitse toezichthouder verbiedt kindersmartwatches met 'afluisterfunctie'
Duitse toezichthouder verbiedt kindersmartwatches met 'afluisterfunctie' Nieuws van 20 november 2017
Consumentenbond waarschuwt voor onveilige gps-kinderhorloges
Consumentenbond waarschuwt voor onveilige gps-kinderhorloges Nieuws van 18 oktober 2017
Meer producten en artikelen
Privacy Beveiliging Datalek

Reacties (29)

-Moderatie-faq
29
22
13
3
0
5
Wijzig sortering
Knijper1962 30 januari 2019 18:00
Dit zal blijven gebeuren.
We willen voor een dubbeltje op de eerste rang zitten. En fabrikanten produceren dan wel wat goedkopers, met alle gebreken van dien.
Zwerver @totaalgeenhard30 januari 2019 18:35
Je maakt een geintje neem ik aan?
Wat denk je van: Een gescheiden ouder die geen omgangsregeling heeft met het kind om $reden. Die kan zien waar het kind is en dan... het kind kan meenemen? Of een ouder die om dringende redenen geen toegang tot zijn of haar kinderen mag hebben, die toegang kan krijgen tot deze data en dan... hoppa, het kind kan zien.

En dat zijn de 'onschuldige' handelingen die mogelijk zijn met dit soort data. Je wil niet weten wat pedofielen-netwerken, kinderontvoerders en anderen met deze data zouden kunnen als ze daar met hun tengels aan komen.

Last but not least, het is gewoon een datalek. Het is nog even veel schadelijker dat het met kinderen te maken heeft, maar een lek is een lek...
Zwerver @totaalgeenhard30 januari 2019 19:48
Ik lees de telegraaf niet :)

En voor de rest ben jij een beetje te goedgelovig om serieus te nemen, dus ik reageer verder niet meer.
Zwerver @totaalgeenhard30 januari 2019 20:11
Ja, ik ken het bedrijf - woon ook in de UK. Maar wat probeer je nou te zeggen dan? Dat het geen probleem is dat een database met locatie- en andere gegevens zomaar openbaar te doorzoeken was? Sorry, maar afgezien van het feit dat het risico met kinderen altijd groter aangemerkt dient te worden dan een database met gegevens van volwassenen - mede door de voorbeelden die ik gegeven heb - is het per definitie fout als dit soort gegevens zomaar op straat kunnen komen te liggen.
theduke1989 @Zwerver30 januari 2019 20:44
Dit is een lek wat njet door de huis-tuin-keuken moeder of vader zal gebruikt worden of zelfs ondekt worden. Dat het een lek is maakt het er niet erger op. Het is eerder hoe de systeem in elkaar zit ipv nu alleen naar 1 iemand het vingertje wijzen.

Want in het bericht wordt vermeld dat het waarschijnlijk bij nog meer fabrikanten dezelfde software achter zit. Dan moet je de software maker aanpakken en njet de verkoper of wie het gebruikt. Want die verwacht iets goeds.
Zwerver @theduke198930 januari 2019 21:25
Sorry, maar de wetgever is het niet me je eens. Zowel producent van de smartwatch als de softwareontwikkelaar heeft hier een verantwoordelijkheid. Het is niet zo dat als bijvoorbeeld Samsung een telefoon met Android uitbrengt en er zit een Security bug in Android, dat Samsung daar niet verantwoordelijk voor is. Het is net zo goed aan de producent van de hardware om te zorgen dat zij de door hen gebruikte software valideren op veiligheid, als dat het aan de leverancier van de software is om een zo veilig mogelijk stuk software op te leveren.

Over je huis- tuin- en keuken papa en mama’s, als dit soort lekken de zwarte markt opgaan, dan wordt de data voor relatief weinig beschikbaar gemaakt. Ook voor de HTK papa en/of mama die deze data niet mag inzien beschikbaar en zeker voor het pedo-netwerk wat toch al gebruik maakt van het dark web.

Het verbaast me dat op een tech focust website als T.net, mensen hier zo laconiek over doen?
theduke1989 @Zwerver30 januari 2019 21:59
Je ziet toch echt dat eerst google de patch fixt en het naar alle mensen fabrikanten opsturen.

Het gaat niet om Tweakers , het gaat er om wie je aansprakelijk neemt in dit geval . En zou dus de fabrikant van het platform moeten zijn. Want de smartwatch merk is niet dagelijks bezig met bugs uitzoeken.

Waar je in jouw verhaal dus Samsung die alsnog ook een team heeft die de android onderhoudt. Maar dit is een 3de partij wat de software onderhouden dus waarom zou de smartwatch fabrikant er de dupr van moeten zijn.

Zie het zo.

Scenarios (Samsung in jouw geval)
1. Hun onderhouden en bewerken hun "android schil" njet eens de base software.
2. Ze kunnen wel dus Patches fixen en dit direct doorsturen naar al "hun" devices.

Scenarios (smartwatch)
1. Hij koopt een 3d party software waar hij niet de eigenaar van is en data op slaat.
2. Hij is niet bezig met de software te onderhouden omdat hij dit van de leverancier krijgt en dus die het zou moeten weten.

Kortom de smartwatch merk is niet de eigenaar van het software. Onderhoudt njet zelf de software. Dus moet wachten op de Bugfixes can de fabrikant. Waarbij Samsung , HTC , en alle andere die wel hun schil en alles zelf onderhouden en zelfs vanuit google support krijgen dit moeten doen. Het zou gek zijn als je smartphone fabrikant een lek in je eigen debug niet zou fixen.

Volgens mij begrijp jij als de rechter totaal njet wat er verteld wordt of wat het verhaal is en probeer je zo over te komen.

Als ik een virusscanner koop, en er zit een bug in dat je bijvoorbeeld (scenario) via de update server van de virusscanner gegevens naar buiten lekt. Ga je mij dan aanklagen of moet je eerst aankloppen bij de fabrikant van het product en zeggen hallo fix verdomme het probleem.
Zwerver @theduke198930 januari 2019 22:48
En toch is het zo dat - in dit geval de smartwatch fabrikant, in mijn voorbeeld Samsung - de fabrikant volgens de wet verantwoordelijk is voor datalekken in systemen welke zij commercieel aanbieden.

Dus de smartwatch-fabrikant kan - indien bewezen dat het een te voorkomen bug was - volledig
aansprakelijk gesteld worden en de boete krijgen.
Zwerver @totaalgeenhard30 januari 2019 20:40
Zie ook mijn reactie hier: Zwerver in 'nieuws: Beveiligingsbedrijf vindt weer lek dat toegang geeft tot ...

Als je de bron gelezen had, wist je dat men op z’n minst real time locatie, naam, ouders naam etc. in die db had staan.
Tjidde @totaalgeenhard30 januari 2019 21:58
Ik weet niet waar het bij mis gaat maar. Ik zou als ouder(ben ik "gelukkig" niet, zo ver ik weet) best wel lijp voelen als een bedrijf ten eerste met een simpel admin account alle data in kan zien wat mijn kind dan zou generen met zo'n horloge. Vervolgens zou ik nog lijper worden als ik te horen zou krijgen jo als je dit en dit doet kan je alle data van iedereen in zien.

Buiten het feit dit heel veel informatie af kan geven aan mensen die geen recht hebben tot die informatie en alles wat daar mee gedaan kan. Geef het ook aan hoe slecht het bedrijf is waar jij je data "vertrouwd".

Voor je komt met Google kan ook alles in zien. Dat soort bedrijven zijn veel te groot om informatie van een persoon opzoekbaar te maken dat is namelijk ook totaal niet aantrekkelijk voor hun.

Maar mocht ik morgen een kind hebben, die krijgt echt geen smartwatch oid.
slijkie @totaalgeenhard30 januari 2019 18:49
Was benieuwd naar je reactie op @Zwerver , maar kan er niet uithalen wat je nou zegt...
metalmania_666 @totaalgeenhard30 januari 2019 18:40
Recht op privacy.
Ooit wel eens van gehoord?

Zeker voor de privacy rechten van kinderen gelden strenge wetten. Zelfs in de USA. Copa en voor Californië zelfs de Ccopa
Toet3r @metalmania_66631 januari 2019 03:02
COPA is inmiddels ongrondwettelijk bevonden door Amerikaans hooggerechtshof
Zwerver @totaalgeenhard30 januari 2019 20:13
Ga maar uit van minimaal een e-mailadres en voor- en achternaam. Als je kijkt naar de screenshot, kunnen ze ook andere zaken kwijt in de database.

Uit de bron:
Guess what: a train wreck. Anyone could access the entire database, including real time child location, name, parents details etc. Not just Gator watches either – the same back end covered multiple brands and tens of thousands of watches

[Reactie gewijzigd door Zwerver op 22 juli 2024 23:58]

Anoniem: 25604 @Knijper196230 januari 2019 21:28
We willen voor een dubbeltje op de eerste rang zitten.
Dat vind ik nou echt een kul-opmerking. Het feit dat iemand niet dure dingen wil kopen betekent niet automatisch dat er met de goedkopere varianten van alles mis mag zijn. En dure gadgets zijn ook niet per definitie beter en veiliger. Kijk maar naar onze duurste smartphones van tegenwoordig. Welke heeft nou geen gebreken die er eigenlijk niet in hadden moeten zitten als je de stelling zou hanteren: duurkoop is goed koop?
WhatsappHack
30 januari 2019 18:03
Door in het post-request bij het inloggen de waarde voor 'User(grade)' te veranderen van 1 naar 0, kregen gebruikers toegang tot de admin-omgeving van kindersmartwatchmaker Gator
Haha, dat is een wel heel erg trieste manier om je ACL af te regelen...
Devs die €100 betaald kregen om de gehele webinterface te bouwen zeker? Ongeloofelijk.
Technomania 30 januari 2019 18:01
Hoe slimmer het apparaat hoe meer kans op een lek. Al vind het met producten voor kinderen extra bezwaarlijk. Je wilt toch dat je kind veilig is.

Maar offtopic: Wat is het nut van een kindersmartwatch? Is dat in plaats van een smartphone of lopen ze tegenwoordig met beiden?

Ik kom nog uit de tijd dat ik af en toe "mijn neus moest laten zien", tijdens het buitenspelen.
oef! @Technomania30 januari 2019 18:54
Het gaat om een slecht beveiligde back-end, dus een server ergens op het internet. De "slimheid" van het horloge heeft hier geen invloed op. Of het ding nu elke dag een nieuw plaatje laat zien of tientallen dingen doet is niet van belang.
tapkcir 30 januari 2019 22:08
Alsof je gegevens wel veilig zijn op een telefoon/horloge of enig smart apparaat van welke fabrikant dan ook. Bij het aanzetten van menig apparaat krijg je al de vraag of je je gegevens vrij wil geven. Dat kun je wel weigeren maar dan heb je weinig aan je speeltje :)
Frogmen 31 januari 2019 08:26
Je kan als ouder ook gewoon de privacy van je kinderen respecteren en ze geen smart-watch geven. Tuurlijk is het soms eng als ouder maar als je ze het vertrouwen niet geeft, leren ze nooit enige zelfstandigheid. Persoonlijk zie ik zelfs een relatie tussen extreem alcohol gebruik en het hebben van mobieltjes. Jongeren zijn gewend geraakt aan het feit dat ze altijd een hulplijn bij zich hebben en dus niet direct de gevolgen van hun gedrag ondervinden. Als ik uit ging wist ik dat nog alleen naar huis moest fietsen, je wist ook heel goed dat je er alleen voor staat, en daar hield je rekening mee.
migros 31 januari 2019 10:49
Ook nog even dit van 2 jaar geleden!!

https://www.consumentenbo...ps-horloges-voor-kinderen
mutley69 31 januari 2019 15:00
We moeten blij zijn met het initiatief van de EU dat men iets langer ondersteuning zal moeten voorzien mbt. beveiligingsupdates dan tot nu het geval was.

Maar dan nog... - is het misschien veiliger uw kind op te sluiten in een kooi - en dat omhoog te trekken tegen het plafond.

Ik schrijf dit zo shokkerend - omdat het nodig is dat we leren om onze kinderen te leren omgaan met
gevaar. Willen we ze totaal opsluiten en bewaken - of willen we dat ze in een toch iets rustiger klimaat opgroeien tot volwassenen?

Eigenlijk veroorzaakt al dat speelgoed meer problemen dan dat ze oplossen - da's mijn harde mening daaromtrend.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq