SIKKERHET

Så enkelt kan GPS-klokken for barn avlyttes og spores

Norsk utvikler oppdaget sårbarhetene i Gator 2-modellen uavhengig av Forbrukerrådet.

Uvedkommende kan med relativt enkle hjelpemidler motta posisjonen Gator 2-klokkene som brukes av barn.
Uvedkommende kan med relativt enkle hjelpemidler motta posisjonen Gator 2-klokkene som brukes av barn. Bilde: Kids GPS Watch
Harald BrombachHarald BrombachNyhetsleder
19. okt. 2017 - 14:03

Forbrukerrådet kom i går en omfattende rapport om fraværende sikkerhet ved flere såkalte GPS-klokker for barn. Noe av hensikten med klokkene er å gjøre det enkelt for foreldrene å spore og kommunisere med barnet når det befinner seg utenfor hjemmet. Blant disse klokkene er en modell kalt Gator 2.

Parallelt og helt uavhengig av arbeidet Forbrukerrådet har gjort i samarbeid med IT-sikkerhetsselskapet Mnemonic, har den norske utvikleren Roy Solberg avdekket alvorlige sårbarheter ved Gator 2. Trolig dreier det seg om noen av de samme sårbarhetene som Forbrukerrådet har omtalt, men Solberg skal ha varslet Gator Norge om sine funn allerede den 5. august, 16 dager før Forbrukerrådet og Mnemonic gikk i gang med deres egne tester. 

Digi.no har også tidligere omtalt andre sikkerhetsfeil som Solberg har oppdaget:

Ventet med å offentliggjøre

Solberg offentliggjorde sine funn i går kveld, altså etter at Forbrukerrådets nyhet hadde fått oppmerksomhet både i Norge og en rekke andre land. Årsaken til at han ikke hadde offentliggjort informasjonen tidligere, var at han ville gi leverandøren den vanlige  90 dagersfristen på å rette feilene. 

– Jeg fryktet at noen andre kom til å «breake» nyheten før meg. Nå ser jeg at det har skjedd, skrev Solberg til digi.no onsdag kveld, mens han fortsatt holdt på å skrive et blogginnlegg om sine egne funn

Blogginnlegget fortjener likevel oppmerksomhet, fordi det går mer teknisk til verks enn det rapporten til Forbrukerrådet gjør. 

Bakgrunn: Elendig sikkerhet i GPS-klokker for barn

Mobilappen

Blant det Solberg fant ut, er at serveren til Gator og den tilhørende mobilappen som foreldrene kan bruke, benytter et inkrementerende heltall for å identifisere klokken. Ved hjelp av proxyen Charles fant Solberg ut at all kommunikasjonen mellom serveren og appen skjer ukryptert via vanlige HTTP-forbindelser.

Ved å endre ID-en som benyttes, kunne Solberg se posisjonen til andre Gator 2-klokker.  Dette kan gjøres ved å taste inn en URL i en nettleser. Dessuten kunne han laste ned eventuelle talemeldinger som barn har lagt igjen til sine foreldre. 

Selve klokken

Men dette var bare den ene siden av saken. Heller ikke kommunikasjonen mellom klokken og serveren er sikret på noen måte. Kommunikasjonen skjer via mobilnettet, men fordi man på klokken kan endre hvilken server klokken skal kontakte, kunne Solberg få den til å kommunisere med hans egen server og fikk da muligheten til å studere detaljene i denne kommunikasjonen. 

Klokken identifiseres ved hjelp av IMEI, en identifikator som alt mobilnett-tilknyttet utstyr har. 

Ved å kjenne til hvordan klokken kommuniserer med Gators server, noe altså er relativt enkelt å finne ut, så er det også mulig å forfalske posisjonsdataene til andres Gator 2-klokker. Dette forutsetter dog at man kjenner IMEI-nummeret til klokken man ønsker å manipulere dataene til.

Solberg skriver dessuten at alle kan også kan hente ut telefonnumrene og navnene til alle som har lov til å ringe til en klokke.

Vanskelig å rette

Gator har foreløpig ikke rettet sårbarheten. For noen uker tilbake skal Solberg ha fått beskjed om at det ville ta noe tid å rette disse problemene. 

– Jeg kan forstå at det ikke er veldig enkelt å legge sikkerhet til et system som er helt ødelagt, skriver Solberg i blogginnlegget. 

Gator skal også ha opplyst Solberg om at de nyere Gator 3 Watch og Gator 3-appen ikke skal ha disse manglene. Til Aftenposten i går sa Morten Sæthre, markedssjef i Gator Norge, at selskapet har sluttet å selge Gator 2, vil flytte kundene fra Gator 2- til Gator 3-serveren og tilby alle med en Gator 2 en ny Gator 3 som kompensasjon.

Men ifølge rapporten til Forbrukerrådet er Gator 3 berørt av mange av de samme sårbarhetene som Gator 2.

Digi.no har informert Forbrukerrådet om arbeidet til Solberg. 

– De kritiske sikkerhetsbristene som både vi og Solberg har avdekket, viser at klokkene i verste fall setter barn i fare. Det er opplagt at importører og butikker ikke har god nok kontroll på hva de tilbyr kundene sine, sier Finn Lützow-Holm Myrstad, fagdirektør for digitale tjenester hos Forbrukerrådet, i en uttalelse til digi.no.

Klokkene selges i en rekke land og gjennom mange kjente forhandlere.

Les også: Forbrukerombudet kaller produsenter av GPS-klokker inn på teppet

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.