There are more and more parents that are considering to purchase smart watches for their kids. The children’s smart watches on the market are usually equipped with many practical functions like the GPS positioning, the camera and the messaging. Among all the smart watches for children, the ones that can be connected via a mobile application called SeTracker are popular for the acceptable prices. These smart watches may have different brands although they come from the same manufacturer company and share the common service and database. The security of the mobile application is essential to the security of the products. But are they designed in a secure way? There were reports about vulnerabilities of the products previously. Unfortunately, the security requirements do not stop upon solving those vulnerabilities. In this project, it was found that the parents can track the kids and communicate with them through the mobile application, but their accounts might be logged on the attacker’s phone at the same time. And it is surprisingly easy to get the password of the users because it is stored in a local file using simple substitution cipher. There are other examples of insecure design in the products. Among them are the unlimited attempts to send and enter verification codes used for changing the password. It seems that the server does not have a complete logging and monitoring mechanism to prevent abnormal behaviors. The security analysis and penetration testing of this project would provide an example of the mobile hacking, and it will also raise a warning on the security of smart devices. / Det finns fler och fler föräldrar som funderar på att köpa smarta klockor till sina barn. De smarta barnklockorna på marknaden är vanligtvis utrustade med många praktiska funktioner som GPS, kamera och meddelanden. Bland alla smarta klockor för barn är de som kan kopplas upp via en mobilapplikation som heter SeTracker populära för de acceptabla priserna. Dessa smarta klockor kan ha olika märken även om de kommer från samma tillverkarföretag och delar den gemensamma tjänsten och databasen. Säkerheten för den mobila applikationen är väsentlig för produkternas säkerhet. Men är de designade på ett säkert sätt? Det fanns rapporter om sårbarheter i produkterna tidigare. Tyvärr slutar inte säkerhetskraven när man löser dessa sårbarheter. I det här projektet fann man att föräldrarna kan spåra barnen och kommunicera med dem via mobilapplikationen, men deras konton kan vara inloggade på angriparens telefon samtidigt. Och det är förvånansvärt lätt att få användarnas lösenord eftersom det lagras i en lokal fil med hjälp av enkla ersättnings-chiffer. Det finns andra exempel på osäker design i produkterna. Bland dem är de obegränsade försöken att skicka och ange verifieringskoder som används för att ändra lösenordet. Det verkar som om servern inte har en fullständig loggnings- och övervakningsmekanism för att förhindra onormalt beteende. Säkerhetsanalysen och penetrationstesten av detta projekt skulle ge ett exempel på mobilhackning, och det kommer också att väcka en varning om säkerheten för smarta enheter.
| Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-328235 |
| Date | January 2023 |
| Creators | Tian, Yaqi |
| Publisher | KTH, Skolan för elektroteknik och datavetenskap (EECS) |
| Source Sets | DiVA Archive at Upsalla University |
| Language | English |
| Detected Language | Swedish |
| Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
| Format | application/pdf |
| Rights | info:eu-repo/semantics/openAccess |
| Relation | TRITA-EECS-EX ; 2023:204 |
Page generated in 0.0029 seconds