SIKKERHET

Sårbarhet i norskprodusert barneklokke lot hvem som helst kontakte barnet

Lukket sårbarheten snart etter at de fikk melding om den.

Hvem som helst kunne sende meldinger til barnets smartklokke.
Hvem som helst kunne sende meldinger til barnets smartklokke. Foto: Digi/Privat
Dette er en Ekstra-sak som noen har delt med deg. Abonnere for å få full tilgang til alt innhold.

I årevis har Forbrukerrådet advart mot elendig sikkerhet i smartklokker for barn. De varslet om sårbarheter allerede i 2017, blant annet i klokker fra norske Xplora, men i forrige uke ble Digi tipset om enda en sårbarhet i Xploras barneklokker (krever abo).

Vi ventet med å omtale den til vi fikk bekreftelse på at feilen er fikset, da vi ikke ønsket å bidra til at noen utnyttet sårbarheten.

Kunne overta et registrert telefonnummer

Sårbarheten lot en potensiell angriper overta en allerede registrert oppføring på klokken, og på den måten utgi seg for å være for eksempel en slektning. Alt man trengte å vite var et telefonnummer som allerede var lagt inn som en kontaktperson i klokken, men som ikke var koblet til en brukerkonto i appen.

Sårbarheten kunne utnyttes til å overta et telefonnummer som allerede var registrert, som Digi har gjort her. Foto: Skjermdump

Det er ganske vanlig at nære familiemedlemmer som ikke er foresatte legges til som kontaktpersoner. Så lenge nummeret de ringer fra er registrert på klokken, kan man ringe den direkte, uten å ha en brukerkonto eller appen. Hvis nummeret ikke er registrert, vil klokken avvise oppringingen.

Dermed var det sannsynlig at en slik klokke vil ha oppført telefonnumre som ikke er koblet til en brukerkonto. Så lenge den rette eieren av det aktuelle telefonnummeret ikke hadde registrert seg med en Xplora-konto med det telefonnummeret, kunne en angriper gjøre det med sin egen e-postadresse og dermed få tilgang til klokken.

Appen ville da sende en kode til e-postadressen, og be angriperen om å bekrefte den i appen.

At angriperen ikke har noe som helst med det aktuelle telefonnummeret å gjøre, spilte ingen rolle, siden bekreftelsen gikk via epost og ikke selve telefonnummeret.

Angriperen kunne da sende tekstmeldinger, bilder og lyd- og videofiler til til barnet. På barnets mobilklokke ville det se ut som om meldingene kom fra den som opprinnelig registrerte telefonnummeret.

Rettet feilen raskt

Uvedkommende fikk ikke se hvor barnet befant seg uten å lure seg til status som foresatt. Foto: Skjermdump

Kun få dager etter at svakheten ble kjent, endret Xplora innstillingene slik at kun kontakter med status som foresatt kunne sende meldinger til appen.

Også andre funksjoner var kun tilgjengelig dersom man er registret som foresatt, som for eksempel å se hvor barnet befinner seg. For at en angriper skal få tilgang til dette må en foresatt lures til å gi angriperens oppføring status som foresatt. Maksimalt to oppføringer kan ha slik status til enhver tid.

Dersom en angriper først får status som foresatt, kan vedkommende også redigere kontaktlisten og for eksempel legge til sitt eget nummer - og dermed få mulighet til å ringe direkte til barnets klokke.

Digi testet denne teknikken på et familiemedlems klokke - med foresattes velsignelse. Vi hadde da ikke noe mer informasjon enn en foresatts nummer, som vi hadde fra før. Vi fikk uten videre adgang til barnets fulle navn og klokkens telefonnummer. Da vi testet fredag 26. august, ble imidlertid forsøke på å ringe klokken avvist, og vi kunne heller ikke sende meldinger eller lignende. Nummeret vi brukte - som var til en faktisk foresatt - var imidlertid tilfeldigvis ikke registrert som foresatt i barnets klokke.

Dermed fungerte vårt forsøk på å overta nummeroppføringen uten problemer. Takket være Xploras oppdatering som lukket sikkerhetshullet, ble imidlertid forsøk på å ringe eller sende meldinger til klokken, blokkert.

Ikke vært utnyttet

Ifølge en redegjørelse Xplora sendte Digi i dag, påfølgende mandag, vil slike forsøk på å overta telefonnummer-oppføringer registrert som foresatte, bli blokkert.

– Det er ikke kjent at denne teoretiske muligheten er blitt utnyttet. Vi har ikke fått noen kundehenvendelser som kan knyttes til denne verifiseringsfeilen, skriver Sten Kirkbak i Xplora i en e-post til Digi.no.

– Ved etablering av kundeforholdet er applikasjonen nå endret slik det brukes mobiltelefonnummer i verifiseringsprosessen istedenfor e-post. Dette lukker verifiseringsfeilen. Dette ble endret i Xplora-appen klokken 20:03 den 25. august. Den blir tilgjengelig til forbruker så snart den er godkjent, og vi anser derfor verifiseringsfeilen som lukket.

Xplora skiftet fra SMS til e-post for registrering i mai, forteller Kirkbak. Det ble gjort i forbindelse med en oppgradering av brukerflyten. Han presiserer at de skiftet tilbake til SMS samme dag som de ble tipset om sårbarheten.

Enkel å fikse

Tipset kom fra Tore Olav Kristiansen, som oppdaget sårbarheten i sin datters smartklokke. Som administrerende direktør i Identitystream, et selskap som driver nettopp med identitets- og tilgangsstyring, er han ikke fremmed for vurdering av slike sårbaheter.

– Jeg ble veldig overrasket over at de hadde oversett en så opplagt feil, forteller han.

Tore Olav Kristiansen er administrerende direktør i Identitystream. Foto: Privat

– I tillegg er feilen enkel å fikse. En bekreftelseskode burde ha blitt sendt til mobiltelefonnummeret allerede registrert på kontakten, i tillegg til dagens kode som sendes for å verifisere mailadressen fylt inn under oppsett på smarttelefonen. Sikring via fysisk tilgang til klokken hadde også vært en god sikkerhetsmekanisme. For eksempel kunne smarttelefonapplikasjonen ha lest en unik QR-kode generert på mobilklokken.

– Bør få etterspill

Selv om Xplora fikset sårbarheten relativt raskt, mener han likevel at saken bør føre til etterspill for selskapet.

– En skal være forsiktig med å tolke for mye ut av en slik enkeltfeil. Men gitt denne feilens natur bør tilsynsmyndighetene stille Xplora inngående spørsmål om hvordan sikkerhet er inkludert i utviklingsprosessen og hvor ofte og hvordan selskapet penetreringstester løsningene sine.

Generelt sett mener han det kan være på sin plass med økonomisk konsekvens for Xplora og andre selskaper i lignende situasjon.

– Det er viktig for forbrukerne at alle selskaper som behandler personopplysninger, jobber i henhold til GDPR. I selskap som styres etter høyest mulig inntjening på bekostning av sikkerhet og kvalitet, er bøter et godt verktøy for å gjøre GDPR viktig for ledelsen.

Han gir likevel Xplora skryt for å ha handlet raskt når uhellet først var ute:

– De har jobbet raskt og fått fikset opp. Det synes jeg er bra.

Les også

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.