Smartwatche dla dzieci Forever KidsWatch Call Me KW-50 i KW-60 ujawniają wrażliwe informacje o urządzeniu w odpowiedzi na spreparowaną wiadomość SMS. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani fizycznego dostępu — wystarczy znać numer telefonu karty SIM w zegarku.
▸ Pokaż oryginał (EN)
Forever KidsWatch Call Me KW-50 R36_YDR_A3PW_GM7S_V1.0_2019_07_15_16.19.24_cob_h and Forever KidsWatch Call Me KW-60 R36CW_YDE_S4_A29_2_V1.0_2023.05.24_22.49.44_cob_b allow a malicious user to gain information about the device by sending an SMS to the device which returns sensitive information.
Atakujący wysyła specjalnie przygotowaną wiadomość SMS na numer telefonu przypisany do zegarka. Urządzenie automatycznie przetwarza taką wiadomość i odsyła w odpowiedzi wrażliwe informacje o sobie. Mechanizm nie wymaga interakcji użytkownika ani posiadania jakichkolwiek uprawnień — wystarczy dostęp do sieci GSM.
Atakujący może zdalnie pozyskać wrażliwe informacje o urządzeniu, co może prowadzić do naruszenia prywatności dziecka oraz umożliwić dalsze ataki na zegarek lub jego użytkowników.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji firmware zaleca się monitorowanie aktywności SMS urządzenia oraz rozważenie ograniczenia możliwości odbierania wiadomości SMS z nieznanych numerów, jeśli platforma zarządzająca zegarkiem to umożliwia.
Forever KidsWatch Call Me KW-50 z firmware R36_YDR_A3PW_GM7S_V1.0_2019_07_15_16.19.24_cob_h oraz Forever KidsWatch Call Me KW-60 z firmware R36CW_YDE_S4_A29_2_V1.0_2023.05.24_22.49.44_cob_b
Podatność została opisana w pracy badawczej opublikowanej w repozytorium DiVA (diva2:1933447) pod tytułem 'Exploiting Vulnerabilities to Remotely Hijack Children's Smartwatches'. Urządzenia te są przeznaczone dla dzieci, co nadaje podatności szczególny wymiar związany z ochroną małoletnich.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H