KTH-studenten hackade klocka för barn
– visade allvarliga säkerhetsbrister
Smartklockan för barn som Gustaf Blomqvist hackade i sitt examensarbete visade sig vara en säkerhetsmässig katastrof. Klockan hade en osäker nätverkstjänst som vem som helst kunde nå via internet.
– Som angripare kan man då ta full kontroll av klockan och använda allt den har. Det finns en massa scenarier där klockan kan bli en säkerhetsrisk och där den kan användas för överbelastningsattacker vilket är ett stort samhällsproblem, säger han.
I sitt examensarbete ”Ethical hacking of a Smartwatch for Kids: A Hacker’s Playground” visar Gustaf Blomqvist hur lätt det är att hacka en smartklocka för barn. Smarta klockor för barn har hackats tidigare, så Gustaf Blomqvist valde en klocka olik de som hackats tidigare.
Han utgick också från ett antal kriterier, klockan skulle vara populär och den skulle innehålla mycket funktionalitet eftersom det innebär att det finns större attackytor. Smarta klockor för barn säljs också med säkerhet som ett viktigt argument för att föräldrar ska känna sig trygga och kunna ha kontakt med sitt barn.
– I början av arbetet tog jag reda på vad som satt i klockan, vad den hade för hårdvara och system. Jag tog också inspiration från andra hackade klockor för att förstå vilka potentiella sårbarheter som kunde finnas, berättar han.
"Kan verka magiskt"
När man ska hacka behöver man kartlägga systemet och förstå hur det fungerar och hur man kan interagera med det. Informationen ligger till grund för att upptäcka svagheter som kan finnas. När svagheterna identifierats prioriterar man dem, kontrollerar att det stämmer och kombinerar dem vid behov.
– Hackning kan verka magiskt men det handlar om teknik och som hackare gäller det att ha en god teknisk förståelse för system, säger han.
Gustaf Blomqvist hittade en allvarlig sårbarhet i en attackyta ingen tittat på tidigare och kom dessutom åt kamera, mikrofon, högtalare. Han kunde även skicka meddelanden och avlyssna omgivningen.
Svårt att säkra
–Det visar att det fortfarande är ett problem med säkerheten i de här klockorna som ska användas av barn, säger han.
Pontus Johnson, professor i nätverk och systemteknik menar att det som visas i Gustaf Blomqvist examensarbete är allvarligt.
– Samhället i stort behöver förstå hur sårbara programvarubaserade system är och hur svårt det är att säkra dessa. Det riktigt allvarliga är att miljontals andra system är lika sårbara och att vår digitala infrastruktur, även den kritiska, lider av oerhört många sårbarheter, säger han.
Text: Emelie Smedslund ( emeliesm@kth.se )