Une entreprise australienne à l'origine d'un smartwatch GPS pour enfants soutenu par 1 million de dollars du gouvernement du Queensland s'est révélée vulnérable à une erreur de sécurité selon laquelle les chercheurs en sécurité informatique affirment qu'ils peuvent suivre un enfant, le faire apparaître ailleurs, appelez les et les écouter – le tout sans interaction de l'utilisateur.

C'est le pire cauchemar de tous les parents: découvrir le dispositif de suivi intelligent que vous avez acheté pour protéger votre enfant pourrait être utilisé à la place d'un inconnu pour le voler.

La fondatrice de TicTocTrack basée à Brisbane, Karen Cantwell, avec son fils Hunter, tirée d'une interview avec les neuf réseaux d'aujourd'hui, est envoyée en 2014.

La fondatrice de TicTocTrack basée à Brisbane, Karen Cantwell, avec son fils Hunter, tirée d'une interview avec les neuf réseaux d'aujourd'hui, est envoyée en 2014.

Mais c’est la réalité à laquelle sont confrontés ceux qui ont acheté la smartwatch à 210 $ commercialisée par la mère australienne Karen Cantwell, de Brisbane, qui est à l’origine de la smartwatch TicTocTrack.

La société a envoyé un courrier électronique aux utilisateurs à propos du problème lundi après-midi et leur a expliqué pourquoi elle arrêterait temporairement le service après que le chercheur britannique en sécurité des données, Ken Munro, lui eut parlé de l'erreur de ce week-end. M. Munro a également travaillé avec Troy Hunt, un autre chercheur en sécurité de Brisbane, pour révéler cette vulnérabilité et démontrer à quel point il était "trivial" de l'exploiter.

"C'est une erreur de vérifier que la personne connectée au compte est la personne autorisée à accéder aux données", a déclaré Munro dans un courrier électronique. "En conséquence, quelqu'un peut accéder aux données d'autres personnes."

Munro et Hunt ont décrit les deux erreurs en détail dans des articles différents publiés sur leur blog. M. Hunt a également filmé une vidéo de sa fille Elle, âgée de six ans, utilisant la montre, qui a été enlevée par une tierce personne non autorisée qui lui a parlé.

"Si vous pouvez compter, vous pouvez tirer parti de ce risque", a déclaré Hunt, expliquant en quoi l'erreur signifiait qu'il était aussi simple que de changer un numéro en une URL pour accéder à la smartwatch d'un autre enfant.

"Je n'achèterais jamais une de ces montres pour mes enfants.

"La seule raison pour laquelle j'ai acheté ceci était pour démontrer l'erreur. Si j'étais un parent qui en a acheté un avec l'intention de l'utiliser, je le renverrais et demanderais un remboursement."

Elle, sa fille de 6 ans, chercheuse en sécurité en Australie, avec une montre intelligente TicTocTrack. Photo: Troy Hunt.

Elle, sa fille de 6 ans, chercheuse en sécurité en Australie, avec une montre intelligente TicTocTrack. Photo: Troy Hunt.

La montre, qui nécessite une carte SIM et un abonnement mensuel compris entre 6 et 20 $, est en vente en Australie depuis environ 2014 et utilise du matériel fabriqué par la société chinoise Gator.

Le logiciel a été développé en collaboration avec la société indienne Nibaya, bien que Mme Cantwell ait déclaré que TicTocTrack travaillait avec le responsable de l'équipe de développement de la société à Perth.

Mme Cantwell a décrit l'explication de l'erreur par le chercheur britannique en matière de sécurité comme une "généralisation".

"Cela n'a pas encore été confirmé comme un problème au-delà des tests de pénétration effectués par Ken Munro", a déclaré Cantwell, et a conclu que le nombre de smartwatches TicTocTrack vendues en Australie a été révélé.

Plus tôt ce mois-ci, Cantwell ABC News a déclaré que les ventes avaient augmenté de 600% au cours des trois dernières années. M. Hunt estime que la vente pourrait se situer autour de 3 500 si le numéro attribué à la montre qu'il a achetée était séquentiel. "Nous allons transmettre cette question", a déclaré Cantwell.

En plus de recevoir de l'argent du gouvernement du Queensland, Mme Cantwell est un fournisseur enregistré d'assurance invalidité.

En novembre 2017, le site d'informations sur la sécurité WeLiveSecurity a signalé que les parents allemands avaient été invités à détruire les montres intelligentes qu'ils avaient achetées pour leurs enfants après que le régulateur des communications du pays avait mis en place une interdiction pour empêcher leurs ventes de faire suite à des révélations de problèmes de sécurité similaires.

Cette histoire "Je n'en achèterais jamais un": la peur est au-dessus de la sécurité du smartwatch de localisation par GPS pour les enfants d'abord apparu sur âgé.