نقص امنیتی ساعت هوشمند کودکان Xplora باعث میشود تا مهاجمان فقط با شماره IMEI به پیامها و تماسها و موقعیت مکانی کودکان دسترسی پیدا کنند.
به گزارش سرویس ساعت هوشمند تکناک، کنفرانس امنیتی معتبر 39C3 در آلمان شاهد افشاگری تکاندهندهای بود که امنیت میلیونها نفر کودک در سراسر اروپا را با مسئله جدی مواجه کرده است. پژوهشگران امنیتی دانشگاه صنعتی دارمشات با ارائه مستنداتی نشان دادند که ساعتهای هوشمند برند نروژی Xplora که خود را پیشرو در امنیت کودکان مینامد، کلیدی جهانی دارند که اجازه دسترسی کامل به ارتباطات و موقعیت مکانی کاربران خردسال را به نفوذگران میدهد.
شرکت Xplora با ادعای رعایت بهترین استانداردهای امنیتی، سهم بزرگی از بازار را در اختیار دارد؛ بهطوریکه در نروژ از هر پنج کودک، یک نفر از این ساعتها استفاده میکند. بااینحال، مالته وو، دانشجوی کارشناسی ارشد با نظارت نیلز رولسهاوزن، در این کنفرانس فاش کرد که فرایند دورزدن لایههای امنیتی این ساعتها بهطرز مضحکی ساده بوده است.
تیم تحقیق موفق شد تنها در چند ساعت پینکد محافظتشده «حالت توسعهدهنده» (Developer Mode) را کرک و به کدهای منبع دستگاه دسترسی پیدا کند. این کالبدشکافی نرمافزاری فاجعهای ساختاری را آشکار کرد: استفاده از کلید رمزنگاری یکسان برای تمامی ساعتهای مدلی خاص.
خطر اصلی زمانی آشکار میشود که بدانیم مهاجمان برای نفوذ به ساعت هر کودک، تنها به شماره IMEI دستگاه نیاز دارند. ازآنجاکه بخش بزرگی از این کد ۱۵ رقمی برای تمامی تولیدات یک مدل ثابت است، نفوذگران میتوانند با استفاده از اسکنرهای خودکار، هزاران ساعت را در یک زمان شناسایی و هک کنند.
پیامدهای این آسیبپذیری فراتر از سرقت اطلاعات ساده است؛ زیرا هکرها میتوانند تمامی چتهای خصوصی و تصاویر و پیامهای صوتی کودک را بخوانند و بشنوند و امکان دستکاری موقعیت مکانی کودک روی نقشه و ردیابی لحظهای او فراهم است و هکرها میتواند به نام کودک، پیامهای جعلی برای اپلیکیشن والدین ارسال کنند که زمینهساز خطرات امنیتی فیزیکی و آدمربایی است.
طبق گزارش این تیم تحقیقاتی، شرکت Xplora از می ۲۰۲۵ از این حفره امنیتی مطلع شده بود؛ اما واکنشهای این شرکت ناامیدکننده توصیف شده است. بهروزرسانی منتشرشده در ماه آگوست، تنها طول پینکد را افزایش داد. به گفته پژوهشگران، این اقدام صرفاً برای دشوارکردن کار تیمهای تحقیقاتی بود و هسته اصلی مشکل، کلید جهانی را حل نکرد.
به نقل از نوتبوکچک، بهدلیل توقف پاسخگویی Xplora از ماه اکتبر، پژوهشگران ناچار شدند پرونده را به اداره فدرال امنیت اطلاعات آلمان (BSI) ارجاع دهند تا ازطریق مجاری قانونی، این شرکت به رفع نقص ملزم شود. درحالیکه نیلز رولسهاوزن در نمایشی فنی نشان داد که حتی میتوان پیامرسانهای امنی مانند سیگنال را روی این ساعتها نصب کرد، این راهکار برای اکثر والدین عملی نیست. شرکت Xplora اکنون وعده داده است که بهروزرسانی امنیتی بنیادین را در ژانویه ۲۰۲۶ منتشر کند.
کارشناسان توصیه میکنند که والدین باید بهمحض انتشار بهروزرسانی در ماه ژانویه، آن را نصب و تا زمان رفع کامل نقص، از اشتراکگذاری اطلاعات بسیار حساس یا مکانهای دقیق در چتهای ساعت خودداری و درصورت امکان، تا زمان اطمینان از امنیت دستگاه استفاده از قابلیتهای چت و ارسال تصویر را محدود کنند. این پرونده باردیگر نشان داد که برچسب مخصوص کودکان لزوماً بهمعنای امنیت بیشتر نیست و نظارت دقیق نهادهای امنیتی بر اینترنت اشیاء (IoT) بیشازپیش ضرورت دارد.
