Fann alvorleg sårbarheit i smartklokke for born

Ei smartklokke for born frå det norske selskapet Xplora har ei alvorleg sårbarheit, har tyske forskarar oppdaga.

Sårbarheita inneber mellom anna at framande kan lesa meldingar, sjå bilete og høyra talemeldingar mellom born og foreldra deira.

Tyske forskarar ved TU Darmstadt har funne ut at alle klokkene av typen Xplora X6Play generasjon 1 nyttar nøyaktig same tryggleiksnøkkel.

Viss ein uvedkomande person får tilgang til den nøkkelen, kan dei få tilgang til klokka og få ho til å gjera kva dei vil, seier forskar og doktorgradskandidat Nils Rollshausen til NRK.

Ifølge forskaren må ein framand òg ha tilgang på identitetsnummeret på klokka, det såkalla IMEI-nummeret, men seier at det er lett å få tak i frå desse klokkene.

– Me har ingen indikasjonar på at funksjonen har vore misbrukt, eller at brukardata har vore tilgjengeleg for uvedkomande eller har kome på avvegar.

Det skriv teknisk sjef Sanghyo Kim i Xplora i ein e-post til NRK.

Sjå kva selskapet svarar på kritikken lenger ned i saka.

Kan senda falsk informasjon

X6Play-klokka vert marknadsført som ei smartklokke for born. Selskapet skriv mellom anna at foreldre kan sjå i sanntid kor barnet deira er.

Men ifølge Rollshausen kan sårbarheita i klokkene gjera at den informasjonen ikkje er spesielt påliteleg.

– I våre eksperiment klarte me òg å senda falske oppdateringar om plassering til foreldra og virtuelt «teleportera» barnet deira til tilfeldige stader, skriv han.

I tillegg kan uvedkomande senda meldingar til foreldra som ser ut som om dei kjem frå klokka til barnet.

Dette er ikkje fyrste gong det har vorte avdekka tryggleiksfeil i klokker frå Xplora.

Digi.no har tidlegare skrive om ei sårbarheit som gjorde at kven som helst kunne kontakta barnet via klokka.

Melde frå om feilen i mai

Dei tyske forskarane kontakta Xplora i mai og fortalde om funna dei hadde gjort.

Då gjorde selskapet fleire tiltak for at det skulle vera vanskelegare for uvedkomande å få tak i tryggleiksnøkkelen, opplyser dei.

Men ifølge Rollshausen er feilen der framleis – og kan verta utnytta.

Det er det ikkje nokon reell fare for etter at ekstra tiltak vart sette inn, ifølge Xplora.

Sanghyo Kim i Xplora forsvarar òg tryggleiksløysingane dei har valt.

– Bruk av statiske API-nøklar er vanleg praksis i bransjen og vert nytta av dei fleste store teknologiselskap, skriv han i ein e-post til NRK.

Han peikar òg på at selskapet har fleire andre måtar å sikra produkta sine på.

Ifølge Kim skal Xplora gjennomføra ei planlagd oppdatering av tryggleikssystema sine i januar. Då skal dei òg gå over til å bruka såkalla dynamiske API-nøklar for alle produkta sine.

– Grunnleggande tryggleiksfeil

IT-tryggleiksekspert Hans-Petter Fjeld meiner det Xplora har gjort, er uakseptabelt.

– Dette er grunnleggande tryggleiksfeil som me har hatt gode og kjende løysingar for i årevis, seier han til NRK.

Han trur ikkje det handlar om manglande fagleg kompetanse hjå selskapet, men heller om prioriteringar og ansvarskjensle.

Han meiner sårbarheita i desse klokkene er ekstra ille fordi dei vert nytta av born.

– Når produkt er retta mot born, er dette heilt uakseptabelt. I verste fall kan misbruk få svært alvorlege konsekvensar.

Sanghyo Kim i Xplora er ikkje einig i at dei har gjort «grunnleggande tryggleiksfeil».

– Sjølv om me respekterer at ein har ulike syn på kva som er god nok tryggleik, er me ueinige i denne skildringa. Det er eit faktum at statiske API-nøklar er utbreidde i bransjen, og med våre ekstra tryggleikslag er dette ei trygg løysing, skriv han.