fbpx

Woensdag 18 oktober is er in de media een bericht geweest over een onderzoek van de Noorse consumentenbond mbt de onveiligheid van een aantal GPS kinderhorloges. Het gaat hier specifiek om kinderhorloges van het merk GATOR en de goedkope modellen (via veilingsites en AlieExpress) die werken met de SeTracker app. One2track maakt als het ware gebruik van dezelfde hardware maar voorziet de toestellen van andere software zodat deze werkt met onze one2track app en services. En dit is wezenlijk anders, 

Wat zijn de beveiligingsproblemen met de SeTracker app

Horloges die werken met de bewuste SeTracker app hebben geen controle mechanisme of een IMEI nummer al gekoppeld is aan een gebruikersaccount. Een tweede gebruiker kan met de beschikking over het IMEInummer zonder problemen het horloge koppelen aan een nieuw gemaakt account en vervolgens alle functies bedienen, dit, terwijl het horloge eigenlijk al aan iemand anders toebehoort.

Ook is het mogelijk om via het 06 nummer bij deze toestellen via een SMS het IMEI nummer te achterhalen. Met het IMEI nummmer is het mogelijk om de SeTracker server te misleiden door via het dataprotocoll andere GPS informatie door te zenden en zo locatiegegevens te faken of via SMS horloge functies te bedienen.

In het rapport van de consumentenbond wordt oa ook gesproken over het plaatsen van onbeveiligde cookies op smartphones. Het ontbreken van de mogelijkheid voor gebruiker om accountgegevens en positiedata te kunnen verwijderen en het feit dat de privacyvoorwaarden onduidelijk zijn of zelf ruimte geven voor misbruik van data voor commerciele doeleinden.

Hoe werkt het bij one2track?

Gelukkig werken de systemen en de app van one2track anders en kennen wij het accountverificatieprobleem niet. Wanneer een ID nummer (one2track werkt met ID nummers ipv IMEI nummers) in de one2track wordt gekoppeld aan een gebruikersaccount (aangemaakt door de klant) dan is het niet meer mogelijk om het ID nummer aan een vreemd account te koppelen. Iedere volgende gebruiker die toegang tot het IMEI nummer wil hebben moet eerst toestemming krijgen van de superuser (de eerste die het IMEI geregistreerd heeft). Zonder toestemming via de app van de superuser krijgt een onbevoegde geen toegang tot de functies van het horloge.

Wel hebben wij gezien dat het ook bij onze horloges mogelijk is om via een SMS het IMEI nummer te achterhalen. Hier heeft een onbevoegde overigens wel altijd het 06 nummer van het horloge voor nodig. Het bedienen van de functies kan plaatsvinden doordat het fabriekswachtwoord van het horloge vaak niet door gebruikers wordt aangepast en daardoor standaard 123456 is. Hierdoor kan een kwaadwillende eventueel de functies van het horloge via SMS bedienen.

Beinvloeden van de data verbinding is lastiger aangezien het datapakket uitsluitend primitieve gegevens verstuurd op basis van IMEI nummer. Het datapakket omvat informatie over de locatiegegevens van het horloge, batterijstatus en netwerkstatus. Er zit in dit datapakket geen privacygevoelige informatie mbt naam en telefoonnummers van de drager. Hieronder een voorbeeld van de inhoud van het datapakket dat het horloge eenmaal per 10 minuten naar de one2track server verstuurd:

Voorbeeld datapakket

Doordat het horloge via het 2G netwerk communiceert en daarmee ook zijn informatie ontvangt is het bijzonder lastig om het toestel via de dataverbinding ongeoorloofde opdrachten aan te bieden en daarmee functies te bedienen.

Wat gaan wij doen in de komende dagen?

Het grote beveiligingsprobleem met de SeTracker app zoals geschreven door de consumentenbond is gelukkig op de one2track app en services niet van toepassing. Wel zien wij een aantal verbetering in het rapport van de consumentenbond die wij dan ook direct gaan toepassen op onze systemen:

1. Het IMEI nummer van het horloge kan te eenvoudig achterhaald worden door een standaardwachtwoordinstelling in het horloge. Wij gaan daarom een optie toevoegen in de one2track app zodat het mogelijk wordt om dit standaard wachtwoord eenvoudiger te wijzigen. Hierdoor is het voor onbevoegden niet meer mogelijk om het IMEI nummer via SMS te achterhalen en zodoende eventueel locatieinformatie te beinvloeden of systeemcommando's via SMS te versturen.

2. Verwijderen account en positiegevens door gebruikers moet eenvoudiger worden. Daarom krijgt de one2track app de mogelijkheid om via een eenvoudige 'druk op de knop' alle account en positiegegevens van de gebruiker definitief te wissen van onze servers.

3. De datastroom van en naar het one2track horloge moet encrypted worden via SSL en TLS.

4. Alle beveiligingscertificaten van de one2track App en het platform moeten worden geupdate.

5. De permissies in de app moeten herzien worden. Alleen de permissies die noodzakelijk zijn voor de werking van de app worden uitgevraagd bij installatie.

Planning: Wij verwachten in de loop van volgende week een app update te kunnen aanbieden via de Google Playstore en de Appstore. Uw huidige app zal hierbij automatisch updaten. Ook het toevoegen van de encryptie moet in de loop van volgende week afgerond zijn.

Wat kunt u zelf nu al doen?

1. Haal de ID stickers na installatie van de achterzijde van het horloge en bewaar deze op een veilige plaats.

2. Wijzig nu al het horloge wachtwoord door een SMS te sturen naar het 06 nummer van het horloge met de tekst: pw,123456,pw,000000# . In het voorbeeld hiernaast vullen wij 000000 als voorbeeld wachtwoord in. U vult in plaats van 000000 zelf een 6 cijferige code in. Nogmaals deze optie komt in de app update van volgende week ook als functie in de one2track app beschikbaar.

Uiteraard blijven wij u op de hoogte houden van de verdere ontwikkelingen,

 

Meer nieuws?