Miljoenen kinderen zijn dankzij goedkope kinderhorloges met GPS eenvoudig traceerbaar voor pedofielen
Uit angst voor pedofielen kopen veel ouders tegenwoordig een GPS-horloge voor hun kinderen. Zo kunnen ze hun kroost overal volgen. Maar de kinderlokkers waar ze de kinderen juist voor willen beschermen kunnen dat ook. Het hacken van zo’n smartwatch met GPS-tracker en microfoon blijkt namelijk een fluitje van een cent.
De software van veel merken relatief goedkope kinderhorloges kan volgens de Britse ethical hackers Ken Munro en Alan Monie van Pen Test Partners heel eenvoudig op afstand worden gekraakt. Veel producenten maken gebruik van dezelfde standaard software.
De slimme kinderhorloges kunnen via Amazon online besteld worden. Ze worden aangeboden voor prijzen tussen de 12 en 90 Euro. Vele malen goedkoper dan een Apple watch.
De app waarmee de locatie van de kinderhorloges op smartphones kan worden uitgelezen is volgens de ethical hackers van Pen Test Partners zo slecht geprogrammeerd dat het voor een hacker een klein kunstje is om in te breken op het online account waarmee de smartwatch in verbinding staat.
Veel ouders hebben een gerust gevoel als ze op ieder moment van de dag weten waar hun kind is. De smartwatch voor kinderen maakt dat mogelijk. Het is eigenlijk een nieuw soort mobiele babyfoon waarmee je niet alleen de kinderkamer live kunt meeluisteren, maar overal waar het kind zich bevindt. Zonder dat de omgeving het weet.
Volgens de Algemene Verordening Gegevensbescherming (AVG) mag dat niet, maar het gebeurt wel. Als er kinderen met zo‘n smartwatch in de buurt zijn weet je nu dus dat je moet oppassen waar je over praat. Big papa en big mama are watching you…
Maar wat mama en papa kunnen, kan een kinderlokker ook. En dan wordt die smartphone een modern paard van Troje. De kindersmartphone kan een nachtmerrie worden.
Kwaadwillenden kunnen kinderen met zo’n horloge dankzij de GPS-tracker ook volgen. Ze weten ook exact waar de kinderen zich bevinden. En via de ingebouwde microfoon kunnen ze dus de kinderen en hun omgeving live afluisteren. Dat is handig als je de rollen omdraait.
Kinderlokkers weten zo dus ook of kinderen alleen zijn. Als ze een kind langer volgen kunnen ze gedragspatronen registreren. Ze kennen de routes waarlangs kinderen dagelijks lopen en fietsen. Waar ze spelen.
En ze weten dat mama en papa kunnen zien waar hun kind is en ook kunnen meeluisteren. Als ze het kind dus willen ontvoeren weten ze dat ze het horloge meteen af moeten doen en weggooien. En dan is het ‘veilige’ kind meteen van de radar van mama en papa verdwenen. Misschien hebben ze nog net de laatste woorden van hun zoontje of dochtertje kunnen horen… Horror! Je moet er niet aan denken.
Ach, zo‘n vaart zal het niet lopen, denken sommige mensen nu. Maar volgens Pen Test Partners is het naief om zo te denken. Helemaal als je zoals deze professionele ethical hackers weet hoe cybercriminelen dagelijks dankbaar misbruik maken van de fouten van slordige slechte programmeurs.
De verbinding die de smartwatch en de app voor smartphones maken met het internet blijkt tot afgrijzen van de ethical hackers onversleuteld te zijn. „Geen encryptie – wat is dit, de jaren negentig?“
Vrijwel alle gegevens worden in platte tekst verstuurd. Iedereen heeft daardoor toegang tot de gegevens.
Het hacken van een ‘slimme’ kinderhorloge blijkt bijzonder eenvoudig. Het gebruikers-ID-nummer kan eenvoudig onderschept worden. Een hacker die een smartwatch voor kinderen koopt kan aan de hand van de inloggegevens van die ene smartwatch inbreken in miljoenen andere smartwatches.
De hacker hoeft enkel te analyseren hoe zijn gekochte smartwatch verbinding maakt met de cloudomgeving. Nadat de onversleutelde communicatie tussen de smartwatch, de app en de backendserver in de cloud met standaard hackersoftware onderschept is hoeft de hacker alleen het ID-nummer te wijzigen om vervolgens toegang te krijgen tot de foto, de verblijfplaats en andere gegevens van een willekeurig kind van dat ID.
Als er miljoenen smartwatches zijn is de kans klein dat ze net die van jouw kind er uitpikken… denken sommige mensen nu. Verkeerd gedacht. Het is heel simpel om kinderen in een bepaalde omgeving te traceren. Kinderlokkers kunnen de smartwatch voor kinderen eenvoudig gebruiken als een soort buienradar voor kinderen. Een online catalogus voor pedofielen.
Ethical hacker Monro van Pen Test Partners zegt dat hij met een eenvoudig zelfgeprogrammeerd C#-programma automatisch de accounts van 12.000 MiSafe horloges had kunnen bekijken en ook een foto van elk kind kon downloaden, plus hun naam, andere persoonlijke gegevens, evenals het telefoonnummer van de ouders en van het horloge zelf.
Munro vertelde de BBC dat een pedofiel met behulp van gemakkelijk verkrijgbare software zich kan voordoen als een van ouders van het kind en rechtstreeks kan communiceren.
“Zodra een hacker het telefoonnummer van de ouder heeft achterhaald kan hij zich voordoen als papa of mama. Hij kan rechtstreeks contact opnemen met het kind en het overtuigen het huis of de speelplaats te verlaten en naar een bepaalde locatie te gaan. Het kind denkt dat papa of mama het zegt en zal de opdracht klakkeloos uitvoeren.”
Pen Test Partners zegt geprobeerd te hebben om met de fabrikant van de MiSafe Kids Watch Plus in contact te komen. Dat is niet gelukt. Het is volgens Pen Test Partners onwaarschijnlijk dat er ooit een beveiligingsupdate voor de kinderhorloges zal komen.
De fabrikant kwam in februari ook al in opspraak vanwege een datalek bij populaire babyfoons.
De kindersmartwatches zijn in Noorwegen inmiddels verboden. De Britse consumentenbond pleit ook voor een verbod.
Advies van de ethical hackers aan ouders die zo’n smartwatch voor hun kinderen hebben gekocht: verwijder de app van je smartphone en vernietig de smartwatch met een hamer of een baksteen.