Les montres intelligentes (smartwatches) pour enfants sont un cauchemar en matière de confidentialité et de sécurité, ces appareils collectent et transmettent des données sensibles sans que l'utilisateur le sache

Des chercheurs de l'équipe antivirus Dr. Web ont analysé la sécurité de quatre smartwatches populaires pour enfants et ont découvert des téléchargeurs préinstallés, des mots de passe faibles et des transmissions de données non cryptées.

L'analyse démontre que la plupart de ces appareils collectent arbitrairement et transmettent périodiquement des données sensibles à des serveurs distants sans que l'utilisateur le sache.

Cette découverte est inquiétante, car ces dispositifs gagnent rapidement en popularité, les parents les achetant pour surveiller la localisation et les activités de leurs enfants.

La recherche a été menée par l'équipe antivirus Dr. Web, qui a examiné Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite et Smart Baby Watch Q19.

Ce sont toutes des smartwatches basées sur Android qui sont très populaires en Russie, et leurs prix couvrent un large éventail de coûts.

Le modèle de montre le plus dérangeant

Dr. Web a découvert que la smartwatch Elari Kidphone 4G possède trois modules cachés qui transmettent des données à un emplacement central et reçoivent des commandes à distance.

Par défaut, cette communication a lieu toutes les huit heures, mais il est possible de régler facilement un autre intervalle.

Les informations transmises comprennent des informations sur la carte SIM, des données de géolocalisation, des informations sur l'appareil, les contacts du répertoire téléphonique, la liste des applications installées, le nombre de SMS et l'historique des appels téléphoniques.

Dr. Web craint que ces modules cachés dans le Kidphone 4G d'Elari puissent être utilisés pour installer des applications malveillantes, télécharger, installer, exécuter ou désinstaller des applications, et aussi afficher des publicités, le tout à l'insu des propriétaires.

"Ainsi, Android.DownLoader.3894 caché dans cette montre peut être utilisé pour le cyber espionnage, l'affichage de publicités et l'installation d'applications indésirables ou même malveillantes", déclare Dr. Web dans sa recherche.

Le moins cher

Le choix le moins cher est le Wokka Lokka Q50, qui coûte environ 15 $ et qui est assez populaire en tant qu'article presque jetable.

Cependant, les chercheurs ont découvert que la montre possède un mot de passe par défaut faible ('123456'), et que toutes les données transmises entre elle et le serveur basé en Russie ne sont pas cryptées.

Cela rend les attaques de type "man-in-the-middle" très simples à réaliser, permettant aux acteurs de la menace de demander la localisation GPS par SMS, d'écouter à distance l'environnement du porteur de la montre, ou même de changer l'adresse du serveur C&C pour une adresse sous leur contrôle total.

Nom : montre 1.png
Affichages : 1223
Taille : 195,1 Ko

Les cas médiocres

Dans le cas de l'Elari FixiTime Lite (50 $) et de la Smart Baby Watch Q19 (25 $), la situation est mitigée.

Elari FixiTime Lite transmet des données sensibles telles que des coordonnées GPS, des messages vocaux et des photos en utilisant le protocole de transfert de données non crypté (HTTP). Ce protocole non crypté permet des attaques de type "man-in-the-middle" (MiTM) qui permettent aux attaquants d'écouter les données transmises.

Nom : montre 1.png
Affichages : 1157
Taille : 675,7 Ko

Bien que la Smart Baby Watch Q19 utilise un mot de passe par défaut faible ('123456'), Dr. Web affirme que les commandes qui peuvent être utilisées sont considérablement réduites, ce qui ne présente pas un grand risque.

Les parents doivent être prudents lorsqu'ils achètent une montre intelligente bon marché pour leurs enfants en raison des risques inhérents aux gadgets connectés à Internet, en particulier lorsqu'ils permettent de suivre la localisation d'un enfant.

Source : Dr. Web

Et vous ?

Trouvez-vous cette étude pertinente ?
Que pensez-vous des montres intelligentes pour les enfants ?
En offrirez-vous personnellement à vos enfants ?

Voir aussi :

Facebook construit discrètement sa propre montre connectée basée sur le système d'exploitation Android, axé sur la santé et avec des fonctions de messagerie et de fitness

Une porte dérobée, non documentée qui prend secrètement des clichés, trouvée dans une montre intelligente pour enfants: le X4, fabriqué et développé conjointement en Chine, suscite des inquiétudes

Des enfants de « riches » trichent à l'école en se servant de l'Apple Watch, la montre connectée du géant de la marque à la pomme