Eksperci po raz kolejny poinformowali o niedostatecznych zabezpieczeniach urządzeń przeznaczonych dla dzieci. Tym razem ekspert bezpieczeństwa Jonathan Zdziarski, znalazł braki w zabezpieczeniach urządzenia Owlet, przeznaczonego do monitorowania funkcji życiowych niemowlęcia. Luki w zabezpieczeniach urządzenia pozwalają osobie trzeciej na przejęcie kontroli nad urządzeniem, co może skutkować zaprzestaniem wysyłania alertów w momencie utraty oddechu przez dziecko.
Urządzenie Owlet to skarpetka założona na stopę dziecka, która monitoruje jego tętno i poziom tlenu we krwi. Dane te przesyłane są bezprzewodowo do stacji bazowej. Jeśli tętno lub poziom tlenu spada poniżej bezpiecznego poziomu, rodzic otrzymuje powiadomienie – stacja bazowa świeci się na czerwono i wydaje dźwięk. Dodatkowo, po zainstalowaniu specjalnej aplikacji na urządzeniu mobilnym, odpowiednie alerty mogą być wysyłane na smartfon rodzica.
Jonathan Zdziarski, ojciec malucha i ekspert bezpieczeństwa, powiedział portalowi The Register, że jego pierwsze podejrzenia związane z bezpieczeństwem produktu Owlet pojawiły się w momencie, gdy spojrzał na zapisy warunków użytkowania urządzenia. Zabezpieczają one firmę produkującą urządzenie przed odpowiedzialnością w razie śmierci dziecka. Jeszcze bardziej niepokojące okazały się luki bezpieczeństwa w oprogramowaniu urządzenia. Stacja bazowa szyfruje dane wysyłane i otrzymywane z serwerów producenta, które w razie potrzeby łączą się z urządzeniem rodzica. Jednak komunikacja pomiędzy skarpetką monitorującą funkcje życiowe dziecka a stacją bazową nie jest szyfrowana – oba urządzenia komunikują się za pomocą własnej niezabezpieczonej sieci Wi-Fi. Zatem jeśli osoba trzecia pozostaje w zasięgu stacji bazowej i skarpetki monitorującej, może uzyskać dostęp do wszystkich przesyłanych informacji.
- Według przeprowadzonego badania polecenie wysłane za pomocą protokołu HTTP może sprawić, że stacja bazowa zamiast łączyć się z siecią Wi-Fi rodziców, połączy się z inną bezprzewodową siecią. Dzięki temu osoba trzecia może przejąć kontrolę nad systemem, monitorować parametry życiowe dziecka, a także anulować wysyłanie alertów do rodzica – komentuje Kamil Sadkowski, analityk zagrożeń z firmy ESET.
Jonathan Zdziarski znalazł również kilka innych wad projektowych tego urządzenia. Jeśli skarpetka spadnie ze stopy dziecka, urządzenie powiadomi rodziców, że coś złego dzieje się z dzieckiem. Jednak po ponownym założeniu skarpetki, urządzenie nie resetuje się – pozostaje w uśpieniu do momentu, aż rodzic ponownie go włączy.
Jak podaje serwis The Register, firma produkująca urządzenia Owlet zapewniła, że chce współpracować z Jonathanem Zdziarskim, aby wyeliminować wszystkie luki, które odnalazł.