Pen Test Partners s'est penché sur la sécurité associée aux montres connectées dédiées principalement aux personnes vulnérables : des seniors aux enfants. Et le bilan est assez inquiétant : nombre de modèles présentent des failles de sécurité critiques.
Le service SETtracker utilisé dans les montres connectées dédiées aux personnes âgées et aux enfants représenterait ainsi un risque majeur de sécurité. L'application de traçage GPS permet ainsi de surveiller la localisation d'enfants ou de personnes âgées présentant une démence sénile. Utilisée par parents et personnels soignants, l'application développée par 3G Electronics disponible sur iOS et Android a été téléchargée plus de 10 millions de fois depuis son lancement... Mais l'application se présente également comme une porte laissée grande ouverte aux pirates.
L'application est utilisée au sein de différentes montres et bracelets connectés, souvent proposés à un prix très attractif. L'API représente un risque important puisqu'elle permet des échanges entre serveurs sans aucune restriction. Il suffirait de détourner ainsi le service pour renvoyer les données vers un serveur tiers pour accéder aux appels, messages, géolocalisation, mais aussi piloter à distance la caméra des dispositifs...
Il serait également possible d'envoyer de fausses notifications, notamment celles utilisées pour rappeler aux porteurs de prendre leur traitement médicamenteux, et créer ainsi des empoisonnements et overdoses.
Le code source du logiciel a également fuité sur la toile, laissait libre cours aux pirates d'exploiter nombre de ses fonctionnalités et de distribuer des versions modifiées sur les marchés alternatifs... Le fichier récupéré a permis de mettre en évidence la présence d'un mot de passe codé en dur : 123456. Il était également fait mention d'une base de données stockant toutes les images des utilisateurs.
3G Electronics a corrigé diverses failles et sécurisé ses serveurs depuis.
Et pour rappel, n'hésitez pas à consulter notre guide des meilleures montres connectées de 2020.
