Les chercheurs ont analysé la sécurité de quatre montres intelligentes populaires pour enfants et ont trouvé des téléchargeurs préinstallés, des mots de passe faibles et des transmissions de données non cryptées.
L’analyse démontre que la plupart de ces appareils collectent arbitrairement et transmettent périodiquement des données sensibles à des serveurs distants à l’insu de l’utilisateur.
Cette découverte est inquiétante car ces appareils gagnent rapidement en popularité, les parents les achetant pour surveiller l’emplacement et les activités de leurs enfants.
La recherche a été menée par l’équipe antivirus de Dr. Web, qui a examiné Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite et Smart Baby Watch Q19.
Ce sont toutes des montres connectées basées sur Android qui sont très populaires en Russie, et leurs prix couvrent un large éventail de coûts.
Le portable le plus gênant
Dr.Web a découvert que la montre intelligente Elari Kidphone 4G possède trois modules cachés qui transmettent des données à un emplacement central et reçoivent des commandes à distance.
Par défaut, cette communication a lieu toutes les huit heures, mais cela peut être facilement ajusté à un intervalle différent.
Les informations transmises comprennent les informations de la carte SIM, les données de géolocalisation, les informations sur l’appareil, les contacts du répertoire, la liste des applications installées, le nombre de SMS et l’historique des appels téléphoniques.
Dr. Web craint que ces modules cachés dans l’Elari Kidphone 4G puissent être utilisés pour installer des applications malveillantes, télécharger, installer, exécuter ou désinstaller des applications, et également afficher des publicités, le tout à l’insu des propriétaires.
« Ainsi, Android.DownLoader.3894 caché dans cette montre peut être utilisé pour le cyberespionnage, l’affichage de publicités et l’installation d’applications indésirables ou même malveillantes », déclare le Dr Web dans leurs recherches.
Source : Elari
Aller pas cher
Le choix le moins cher est le Wokka Lokka Q50, qui coûte environ 15 $ et est très populaire en tant qu’article presque jetable.
Cependant, les chercheurs ont découvert que la montre avait un mot de passe par défaut faible (« 123456 ») et que toutes les données transmises entre elle et le serveur basé en Russie ne sont pas cryptées.
Cela rend les attaques de l’homme du milieu très simples à réaliser, permettant aux acteurs malveillants de demander la localisation GPS par SMS, d’écouter l’environnement du porteur à distance, ou même de changer l’adresse du serveur C&C en une adresse sous leur contrôle total.
Source : Dr Web
Cas médiocres
Dans le cas de l’Elari FixiTime Lite (50 $) et de la Smart Baby Watch Q19 (25 $), la situation est mitigée.
Elari FixiTime Lite transmet des données sensibles telles que des coordonnées GPS, des messages vocaux et des photos à l’aide du protocole de transfert de données non crypté (HTTP). Ce protocole non crypté permet des attaques de type man-in-the-middle (MiTM) qui permettent aux attaquants d’écouter les données transmises.
Source : Dr Web
Alors que la Smart Baby Watch Q19 utilise un mot de passe par défaut faible (« 123456 »), le Dr Web affirme que les commandes pouvant être utilisées sont considérablement réduites, ce qui en fait un risque minime.
Les parents doivent être prudents lorsqu’ils achètent une montre connectée bon marché pour leurs enfants en raison des risques inhérents aux gadgets connectés à Internet, en particulier lorsqu’ils permettent de suivre l’emplacement d’un enfant.
EZpublish-france.fr a contacté Elari et Wokka Lokka pour commenter ce qui précède, mais nous n’avons pas encore eu de réponse.