Jouets connectés : cette smartwatch peut espionner vos enfants

Des chercheurs de l'entreprise de cybersécurité AV-Test viennent de publier un rapport alarmant sur une montre connectée chinoise présente à travers le globe. La SMA-Watch-M2, fabriquée par Shenzhen Smart Care Technology Ltd, est vendue à un tarif avoisinant les 30 dollars (27 euros). La base de données étant exposée sans le moindre chiffrement, les chercheurs ont pu accéder aux données de plus de 5.000 enfants et 10.000 comptes parents.

Ces montres sont destinées aux enfants et permettent aux parents de les surveiller grâce à une application connectée. Les parents ont ainsi accès à la localisation GPS en temps réel et peuvent directement appeler ou envoyer un message vocal. Le problème vient du serveur dont l'API Web ne vérifie pas le jetonjeton de sécurité. Ainsi, ils ont pu avoir accès aux identifiants des autres comptes. Ils ont ensuite pu modifier un fichier de configuration dans l'applicationapplication mobilemobile pour y ajouter l'identifiant de n'importe quel compte et s'y connecter sans avoir à saisir de mot de passemot de passe.

La montre est toujours en vente

Ces deux techniques donnent accès à toutes les informations du compte, ce qui inclut le nom des parents, celui de l'enfant, une photo de l'enfant, des informations de contact des proches, mais également la position en temps réel, les conversations et messages vocaux. Ils ont ainsi pu cibler un compte et identifier un enfant, son lieu de résidence, suivre son parcours pour l'école et consulter les communications avec ses grands-parents.

Les chercheurs ont découvert des comptes localisés en Turquie, Pologne, Mexique, Belgique, Hong Kong, Espagne, les Pays-Bas et la Chine. Ils ont contacté le revendeur allemand Pearl qui a retiré cette montre du marché, mais d'autres vendeurs dans le monde la proposent encore et de nombreux comptes sont toujours exposés.