パスワードを忘れた? アカウント作成
13834527 story
プライバシ

EU当局、位置情報などを暗号化せずにサーバー送信していたとして子供向けスマートウォッチの回収を指示 9

ストーリー by hylom
これはアウトだ 部門より
あるAnonymous Coward曰く、

欧州連合(EU)当局が、ドイツ・ENOXの子供向けスマートウォッチ「Safe-Kid-One」の回収を決めた。通信が暗号化されておらず、容易に外部からプライバシに関わるデータにアクセスできる可能性があるためだという(CNETSlashdot)。

このスマートウォッチは一見普通のアナログ式時計に見えるが、SIMやGPSが内蔵されており、定期的に位置情報をクラウドサーバーに送信して保護者が確認できたり、あらかじめ指定した相手に電話をかける機能などを備えているという。

EU当局によると、このデバイスはクラウドサーバーと暗号化せずにデータをやりとりしており、位置情報履歴や電話番号、シリアル番号などのデータを簡単に取得したり変更できるという。

  • タレコミやタイトルでは「暗号化せずにサーバーとやりとりしていた」というところが目立ってるけど、CNETの記事をみると、

    (略)
    サーバはデータへの認証されていないアクセスを可能にしている。結果として、位置情報の履歴、電話番号、シリアル番号などのデータを簡単に取得したり変更したりできる
    (途中略)
    「悪意あるユーザーは任意のスマートウォッチにコマンドを送信し、指定した別の番号に発信させることができる。また、デバイスを装着している子どもと通信したり、GPSを通じて子どもの居場所を特定したりできる」

    ということで、暗号化なしでの通信よりも、設計における基本的なセキュリティが欠如していて悪意あるユーザーが犯罪行為に使えることを問題にしているように見える。
    本当にここまでセキュリティがザルだと、親が安心のために買い与えたのに、それが犯罪のターゲットになる原因になりかねないですね。

    ここに返信
  • by Anonymous Coward on 2019年02月09日 17時45分 (#3562555)

    Enox社ウェブサイト(タレコミ本文中のリンク)において本件に関する言及がありませんね。ドイツの会社だから土日は休業中なんでしょうか。

    EUの公式発表はこちら。
    https://ec.europa.eu/consumers/consumers_safety/safety_products/rapex/... [europa.eu]

    発表は2月7日付。ユーロアマゾン(ドイツ、フランス、スペイン)ではすでに商品情報は見られません。

    ここに返信
    • by Anonymous Coward

      リンク先をみると、欧州の無線機器指令に不適合、という扱いみたいですね。
      いろいろぐぐると無線機器指令では、機器によっては「ユーザーや加入者の個人情報やプライバシーの保護を確かとする防護手段を持つこと」「詐欺行為の防止のための機能を備えること」というのが要求されるようなので、このあたりに不適合とみなされているんでしょうね。
      日本で類似ケースが起きた場合にはどうなるのか非常に興味深いところです。

  • by Anonymous Coward on 2019年02月09日 22時22分 (#3562629)

    ママのアプリからは学校にいるように見えて実はゲーセン、みたいなことできたんだろうな

    ここに返信
    • by Anonymous Coward

      位置情報ONのまま日陰で休んでる営業車やトラックと同じだ、休憩中はちゃんと駐車してればいいとして、それ以外の時間はサボってるのを気付かないのだろうか。

      • by Anonymous Coward

        長距離トラックとかだと夜間の空いてる時間を元にスケジュールと燃料計算をしてるので
        昼間にサボっているのではなくて、マジ休憩なのかと

        • by Anonymous Coward

          あとは高速料金の夜間割引とかもあるしね

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...