Attention, cette smartwatch pour enfant peut voler vos données

Beaucoup d’entre nous pourraient croire que les pirates ne s’intéressent qu’aux données personnelles et bancaires qu’ils peuvent voler sur le Web et qu’ils n’auraient sûrement aucun intérêt à pirater de simples jouets connectés pour enfants. Grossière erreur ! Comme l’a récemment rapporté AXTEST dans son blog, même une simple montre connectée pour enfant peut être piratée par les pirates de sorte à leur divulguer vos informations personnelles.

Ce sont les chercheurs de la société de cybersécurité AV-Test qui ont découvert le danger que représente la montre connectée SMA-WATCH-M2, conçue par l’entreprise Shenzhen Smart Care Technology.

Cette montre connectée chinoise est vendue dans le monde entier pour une valeur de 30 dollars ou 27 euros environ.

Le problème, c’est que la base de données de la smartwach n’est protégée par aucun chiffrement, ce qui facilite la tâche des pirates.

Les chercheurs ont facilement pu accéder à des milliers de comptes et d’enfants

Pour rappel, ces montres connectées pour enfants permettent aux parents de surveiller leurs enfants grâce à une application connectée. De plus, ils ont accès à la localisation GPS en temps réel de leurs enfants et peuvent même les appeler directement ou leur laisser un message vocal.

Toutefois, les experts en cybersécurité ont découvert une faille de sécurité dans le serveur dont l’API Web ne vérifiait pas le jeton de sécurité. En conséquence, les chercheurs ont pu accéder aux données de plus de 5.000 enfants et à plus de 10.000 comptes parents.

Les chercheurs ont même pu modifier le fichier de configuration de l’API pour y ajouter l’identifiant de n’importe quel compte et s’y connecter sans devoir saisir le moindre mot de passe.

La smartwatch est toujours en vente

Les chercheurs ont ainsi pu accéder à toutes les informations du compte de la smartwatch, allant du nom de l’enfant et de ses parents, aux photos de l’enfant et aux informations de ses contacts, mais aussi sur sa localisation en temps réel, ses conversations et ses messages vocaux.

Les experts ont même réussi à cibler un compte, identifier l’enfant, son adresse, son parcours jusqu’à l’école et ont accédé à ses communications avec ses grands-parents. Les chercheurs ont rapidement alerté le revendeur allemand Pearl qui a depuis retiré le produit du marché, mais la montre est toujours en vente chez tous les autres revendeurs.

A noter que les comptes exposés étaient éparpillés aux quatre coins du monde comme la Chine, l’Espagne, la Turquie, Hong Kong, le Mexique, la Belgique et les Pays-Bas. Tous les enfants détenteurs de cette smartwatch sont ainsi en danger.