Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향어린이용 스마트워치의 위험성
작성일 2021-12-02 조회 31

 

 

 

인기 있는 어린이용 스마트워치 4개의 보안을 분석한 결과 사전 설치된 다운로더, 취약한 비밀번호, 암호화되지 않은 데이터 전송이 발견되었다.

 

분석 결과 이러한 장치의 대부분은 사용자가 알지 못하는 상태에서 민감한 데이터를 임의로 수집하여 원격 서버에 주기적으로 전송하는 것으로 나타났다.

 

Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite 및 Smart Baby Watch Q19를 조사한 Dr.Web 바이러스 백신 팀이 연구를 수행했다.

 

이 제품들은 모두 러시아에서 매우 인기 있는 Android 기반 스마트 워치이며 다양한 가격대로 폭 넓은 제품군을 갖고있다.

 

Dr.Web은 Elari Kidphone 4G 스마트워치에 데이터를 중앙 위치로 전송하고 원격 명령을 수신하는 3개의 숨겨진 모듈이 있음을 발견했다.

 

기본적으로 이 통신은 8시간마다 발생하지만 임의로 조절할 수 있다.

 

전송되는 정보에는 SIM 카드 정보, 지리적 위치 데이터, 장치 정보, 전화번호부 연락처, 설치된 앱 목록, SMS 수 및 전화 통화 내역이 포함된다.

 

Dr.Web은 Elari Kidphone 4G의 이러한 숨겨진 모듈이 소유자들이 모르게 악성 앱을 설치하고, 앱을 다운로드,설치, 실행 또는 제거하고 광고를 표시하는데 사용될 수 있다고 우려하고 있다.

 

"따라서 이 시계에 숨겨진 Android.DownLoader.3894는 사이버 스파이 활동, 광고 표시 또는 원치 않는 악성 앱 설치에 사용될 수 있습니다."라고 Dr.Web은 연구에서 밝혔다.

 

 

[그림1. 스마트워치 판매 이미지]

 

 

가장 저렴한 제품군은 Wokka Lokka Q50으로, 가격은 약 15달러이며 거의 일회용품으로 인기가 높다.

 

그러나 연구원들은 워치의 기본 암호('123456')가 취약하고 워치와 러시아 기반 서버 간에 전송되는 모든 데이터가 암호화되지 않은 것을 발견했다.

 

이를 통해 중간자 공격을 매우 간단하게 수행할 수 있으므로 위협 행위자가 SMS를 통해 GPS 위치를 요청하고 주변을 원격으로 듣거나 C&C 서버 주소를 완전히 제어할 수 있는 주소로 변경할 수 있다.

 

 

[그림2. 공격 샘플]

 

 

Elari FixiTime Lite(50 달러)와 Smart Baby Watch Q19(25 달러)의 경우 다른 양상을 보인다.

 

Elari FixiTime Lite는 암호화되지 않은(HTTP) 데이터 전송 프로토콜을 사용하여 GPS 좌표, 음성 메일 및 사진과 같은 민감한 데이터를 전송할 수 있다.

 

이 암호화되지 않은 프로토콜은 공격자가 전송된 데이터를 수신할 수 있도록 하는 MiTM(Man-in-the-Middle) 공격을 가능하게 한다.

 

 

[그림3. 공격 트래픽 샘플]

 

 

Smart Baby Watch Q19는 약한 기본 비밀번호('123456')를 사용하지만 Dr.Web은 공격에 사용할 수 있는 명령어가 크게 줄어들어 그다지 위험하지 않다고 말한다.

 

부모가 자녀를 위해 저렴한 스마트워치를 구입할 때 특히 주의해야 할 것이다.

 

 

 

 

출처

https://www.bleepingcomputer.com/news/security/smartwatches-for-children-are-a-privacy-and-security-nightmare/

첨부파일 첨부파일이 없습니다.
태그 Android