子どもの位置情報を追跡する安価なスマートウォッチが抱える脆弱性を研究者が指摘

by Thor Alvis

子どもが今どこにいるのかを把握することで、子どもの安全を守るというのが子ども向けのスマートウォッチや位置トラッカーの役割です。しかし、こういった製品の多くがセキュリティ面の対策がずさんな中国企業により開発されているため、悪意のある人物が子どもの位置情報を調べられるようになっているとセキュリティ研究者が指摘しています。

IoT Vuln Disclosure: Children's GPS Smart Watches (R7-2019-57)
https://blog.rapid7.com/2019/12/11/iot-vuln-disclosure-childrens-gps-smart-watches-r7-2019-57/

サイバーセキュリティ企業のRapid7は、サイバー攻撃を仕掛けてくるアタッカーがシステムの脆弱性をどのように悪用するかを検証するトレーニングの一環として、侵入テスト・サービスを行っています。

IoT部門のリーダーを務めるDeral Heiland氏の指導の下、Rapid7の研究チームは子ども向けのGPS対応型スマートウォッチに脆弱性がないかどうかを調査を開始。調査対象となったのは、「Children's SmartWatch」「G36 Children's Smartwatch」「SmarTurtles Kid's Smartwatch」といういずれもAmazonで購入したスマートウォッチです。調査の中で、3つのスマートウォッチはほぼ同一のハードウェアおよびソフトウェアを有していることが明らかになっており、すべて同じ脆弱性を抱えていたとのこと。

3つのスマートウォッチはいずれもiPhoneあるいはAndroidアプリと共に使うことが想定されており、バックエンドクラウドサービス兼アプリケーションとして「SeTracker」あるいは「SeTracker2」を利用します。いずれのアプリもwcrという開発者が開発したもので、アプリインデックスサービスのAppBrainにより、「wcr」という開発者アカウントは深センに拠点を置く中国企業・3G Electronics関連のものであることが判明しました。また、スマートウォッチの本体も3G Electronicsが提供したものをそれぞれローカライズしたものと推定されています。

Rapid7の研究チームによると、これらの子ども向けスマートウォッチには技術的な脆弱性が1つ、そして技術的な部分とは関係がない2つの問題が存在するそうです。なお、技術的な脆弱性というのは「SMSフィルタリング機能の欠如」で、その他の2つの問題というのは「デバイスの初期パスワードがどこにも書かれていない」点と、「端末の販売業者の連絡先などが記されていない」点です。

◆端末の販売業者の連絡先などが記されていない
「端末の販売業者の連絡先などが記されていない」という点について、Rapid7はさまざまな方法で連絡先を調べたそうですが、いずれのスマートウォッチも販売業者側と連絡を取ることは「不可能だった」とのこと。SmarTurtles Kid's Smartwatchについては、公式のウェブサイトが存在するそうですが、販売業者に連絡するための方法は存在していません。

そのため、Rapid7は「IoTで座椅子と関連するクラウドサービスの安全性やプライバシー、セキュリティに関心のある人は、明確に販売元などが特定できない製品を使用しないようにすることをオススメします」と記しています。

上記の通り、いずれのスマートウォッチも販売業者の連絡先を特定することはできませんでしたが、Rapid7は開発元と目される3G Electronicsのメールアドレスを特定することに成功しています。ただし、メールを送信したところ別のメールアドレスが正しい連絡先であるというメッセージを受信し、正しいとされるメールアドレス宛に連絡を送ったところ、宛先のメールアカウントのストレージが上限に達してメールが送信できないというメッセージが届き、結局連絡を取ることはできなかったそうです。

◆SMSフィルタリング機能の欠如
調査対象となったのは子ども向けのスマートウォッチということで、特定の電話番号のみがスマートウォッチと通信できるように設計されていると取り扱い説明書には記載されているそうです。連絡可能となる電話番号はアプリのホワイトリストに追加されたものとされていますが、実際のところフィルター機能は機能しているようには見えないとのこと。ホワイトリストに登録していない電話番号ともメッセージのやり取りができる可能性があるとRapid7は指摘。

また、発信元の電話番号を偽装することは簡単に可能なため、SMSフィルタリング機能は正しく実装されていてもそれほど効果を発揮するものではなく、「セキュリティ機能としては推奨されないもの」とRapid7は記しています。

◆デバイスの初期パスワードがどこにも書かれていない
3つのスマートウォッチの初期パスワードは「123456」だそうですが、どこにもその旨は書かれていないそうです。

by Austris Augusts

以上の3つの問題を抱えているため、スマートウォッチの電話番号を知っている人ならば、比較的簡単な方法でスマートウォッチを監視可能になり、装着している子どもの現在地を調べたり、音声チャット機能を使って子どもと話したりすることが可能になってしまうとRapid7は指摘しています。また、ファームウェアのアップデートなしにSMSフィルタリング機能の問題に対処することはできないものの、開発者と連絡を取る方法がないため、アップデートは実現しそうにないとも記しています。

子ども向けのGPS機能付きスマートウォッチの抱える脆弱性について報告しているのはRapid7だけではありません。サイバーセキュリティ企業のAvastは、Amazon.comなどで販売されている子ども向けの位置追跡端末の抱えるセキュリティ上の危険性について警告しています。

60万台以上ものGPSトラッカーの情報が「123456」というパスワードでオンライン上に公開されているとセキュリティ会社が警告 - GIGAZINE

by mohamed hassan