nrk.no

Fant overvåkningsfunksjoner i barneklokke solgt av norsk selskap

Kategori: IT-sikkerhet

Den populære barneklokken Xplora 4 har på verdens basis blitt solgt over 100.000 ganger, ifølge selskapet selv. Foto: Harrison Sand / Mnemonic

Det norske selskapet Xplora hevder funksjonene aldri har blitt brukt og at de ble fjernet kort tid etter at de ble gjort oppmerksomme på dem.

«Vi bør være trygge på at teknologien som tilbys fortsatt lar barn være barn», skriver Xplora på sine nettsider om smartklokken Xplora 4. Omtrent 100.000 smartklokker av denne modellen har blitt solgt på verdensbasis.

Smartklokken tilbyr foreldre muligheten til å kommunisere og holde øye med barna sine uten å gi dem en smarttelefon.

Men nylig publiserte funn av sikkerhetsforskere ved Mnemonic viser at klokken har hatt andre, og til nå, ukjente funksjoner. De har funnet det de kaller en bakdør i smartklokken Xplora 4 som gjør det mulig å ta bilder, avlytte telefonsamtaler, og spore lokasjon i sanntid.

– Bakdøren er ikke en sikkerhetssårbarhet. Det er en funksjon som er utviklet med vilje, med funksjonsnavn som inkluderer «remote snapshot», «send location», og «wiretap». Bakdøren blir aktivisert med å sende en SMS-kommando til klokken, står det i Mnemonics oppsummering av funnene.

Sikkerhetsforsker Harrison Sand i Mnemonic har gjort mesteparten av de tekniske analysene. Foto: Mnemonic

For å bruke den påståtte bakdøren må man ha to biter av informasjon, ifølge sikkerhetsforskerne. Den første er en hemmelig krypteringsnøkkel som selskapet har tilgang til, dernest brukerens telefonnummer. Det gjør funksjonene svært vanskelige å utnytte, ifølge sikkerhetsforskerne og Xplora.

Sikkerhetsforskerne mener at dette er opplysninger det er sannsynlig at Xplora og deres kinesiske samarbeidsbedrift vil ha tilgang til.

Det var teknologinettstedet Ars Technica som først omtalte saken.

Aldri i bruk

Grunnlegger og sjef for Xplora, Sten Kirkbak, mener sikkerhetsforskerne har funnet overvåkningsfunksjoner som aldri ble tatt i bruk. Disse var originalt tenkt å brukes om et barn kom bort fra foreldrene sine eller var i nød.

Ifølge Kirkbak stammer ideen om disse funksjonene fra en hendelse da han selv kom bort fra sin fire år gamle sønn på et kjøpesenter.

– Vi bestrider på det sterkeste påstanden fra Mnemonic om at dette er en såkalt bakdør. Vår hensikt med disse funksjonene i en prototype var at de skulle tillate at foreldre fjernstyrte lokalisering, opptak- og bildefunksjonen på klokken i en nødsituasjon. Disse funksjonene ble aldri tatt i bruk på grunn av GDPR, sier Kirkbak til NRKbeta.

GDPR, også kalt personvernforordningen, ble innført i norsk lov i 2018.

– Ved en glipp lå det likevel igjen kodelinjer i programvaren, og disse ble slettet i en obligatorisk oppdatering den 9. oktober klokken 08.00, sier Kirkbak.

– Dere valgte å droppe nødfunksjonene, men hvorfor ble de ikke fjernet helt fra smartklokkene?

– Koden i plattformen og appen ble slettet, men ved en glipp ble ikke alle disse kodelinjene i sin helhet slettet fra alle klokkens applikasjonslag i firmware. Det er snakk om en menneskelig feil, svarer Kirkbak.

Kirkbak er kritisk til Mnemonic, som ham mener ikke har gjort seg tilgjengelige for å rette opp det han mener er en «ubalansert og spekulativ» rapport. Mnemonic bestrider denne beskrivelsen og hevder at de har gitt selskapet mulighet til å gå gjennom funnene skriftlig eller over telefon.

Problematiserer kinesisk samarbeid

Det er ikke dokumentert av overvåkningsfunksjonene sendte data til noen andre enn Xplora, men sikkerhetsforskerne ved Mnemonic mener de fant referanser til og kommunikasjon med servere eid av det kinesiske selskapet Qihoo 360 i sine tekniske analyser.

Qihoo 360 er underlagt eksportrestriksjoner i USA på grunn av «en betydelig risiko» for at teknologi og materialer kan benyttes til militære formål av Kina, noe Mnemonic påpeker i sitt blogginnlegg.

Det er også slik at en variant av smartklokken selges av Qihoo i Kina. Xplora har en avtale med 360 Kids Guard, et underselskap av Qihoo 360, om produksjon og utvikling av smartklokken. Kirkbak hevder at smartklokkene som selges av dem er «svært forskjellig».

Foto: Harrison Sand / Mnemonic

– Nøkkelkomponenter er blitt redesignet og tilpasset i henhold til amerikanske og europeiske retningslinjer for blant annet mobiltelefonstråling, sier Kirkbak, som også understrekes at alle data lagres og behandles på Xploras servere i Tyskland.

Kirkbak bestrider videre at deres smartklokker kommuniserer med servere i Kina. Ifølge ham ble kodelinjene, som Mnemonic mener kommuniserer med servere kontrollert av Qihoo 360, fjernet i november 2019 i en oppdatering.

Xplora har også en databehandleravtale med 360 Kids Guard som skal sikre at brukernes informasjon ikke misbrukes.

– Man må også ta i betraktning at til og med USA tillater handel med Qihoos datterselskaper, selv om morselskapet er underlagt egne eksportrestriksjoner fra amerikanernes side. Det sier nok sitt om at risikobildet er mindre enn Mnemonic spekulerer i, sier Kirkbak.

Xplora priset til 381 millioner

Nylig hentet Xplora Technologies inn 100 millioner kroner til en pris på 381 millioner kroner, ifølge Finansavisen.

Det norske selskapet har vokst kraftig de siste årene og oppgir selv å ha solgt mer enn 350.000 smartklokker på verdensbasis.

Slike smartklokker for barn fikk i 2017 hard kritikk av Forbrukerrådet for å ha «elendig sikkerhet». Xplora stod for en av de omtalte modellene og etter rapporten hevdet selskapet at de forbedret sikkerheten.

– Vi tar sikkerhet overfor barn veldig alvorlig. Her må vi være ledende, for det er jo grunnlaget for virksomheten vår, sa Sten Kirkbak i Xplora til Digi i etterkant.

8 kommentarer

  1. Teddy Grimstad

    Man kann ikke stole på Elektroniske varer uansett hva de BABBLER om de som seller tingene. Jeg er utdannet IT og Sivilingeniør og har arbeidet med
    mini og smd elektronikk siden det komm på markedet. Den som er produsent har mange gange r ikke aning om hva som ligger i slutt trinnet
    før det kommer til bruker.

    Svar på denne kommentaren

  2. Qihoo 360 er samme firma som kjøpte opp opera software.

    På den tiden sa myndighetene i usa at det ikke var en sikkerhetsrisiko med oppkjøpet. I år ble selskapet lagt til på en liste over firma som kan representere en trussel mot nasjonal sikkerhet i usa.

    Når man leser Qihoo 360 sin side på Wikipedia derimot så synes jeg at man burde ta en titt på selskapet for Norges sin del også. Her er det kanskje for dårlig kunnskap om sikkerhet eller noe verre som skjer. Dette rammer andre produkter de har laget og solgt i Kina også.

    At de tar kontakt med sine egne domener har vel noe å gjøre med oppdatering av sdk, dataoverføring eller så tester de bare om enheten har tilgang til Internett. Uansett hva formålet er så bør man se nærmere på det.

    Svar på denne kommentaren

  3. «Xplora har også en databehandleravtale med 360 Kids Guard som skal sikre at brukernes informasjon ikke misbrukes.»

    Altså kan ikke si annet enn «xD» om at vi skal stole på DBA mot et land som er kjent for å ta ting enten de får lov eller ei.

    Og altså, hvorfor skal de ha en klapp på skulderen for å ha slettet den omtalte koden på plattformen i nov 19? Allerede i 2017 var forbrukertilsynet sammen med Mnemonic ute og kritiserte Xplora klokkene for elending forbrukervern og overvåkning av brukerne. Hvorfor slettet de ikke på dette tidspunktet denne biten med kode som de 100% VISSTE ikke ville være lovlig? Som de selv påstår de allerede i BETA forsto at de ikke hadde bruk for. Skulle tro de på dette tidspunktet gikk igjennom all kode og rettet opp, med mindre de har tenkt å bruke det til de blir fersket for det også.

    Og det evige «jada koden er den men den vi finner ingen spor til at den har blitt brukt». Altså lol. Innen IT blir de aller færreste ting sporet, I HVERT FALL ikke de første årene (5-10 først år) av et selskap. Synes det er så usaklig at selskap tørr å si noe slikt når det burde være common knowledge at ting ikke spores og det de egentlig sier er «jeg personlig og de aller nærmeste meg har ikke gjort noe, alle andre i selskapet har jeg ikke peiling på». Mest sannsynlig har de ikke engang spurt om noen har brukt koden fordi de uansett kommer unna med en slik uttalelse uten noe mer styr.

    Alle som jobber med IT vet at det er lettere å be om tilgivelse enn tillatelse. Uansett hvor stor eller liten bedriften er.

    Svar på denne kommentaren

  4. Til dere som kommenterer på disse sidene. Tusen takk for at dere gjør det. For meg er det en enrom kilde til læring, og undersøkelse videre. Vi kan aldri får for mye folk med kunnskap som tenker kritisk om alt vi blir presentert for.

    Svar på denne kommentaren

    • Nå kan de snikfilme 100.000 barn på en gang, høre på alt de sier og spore deres nøyaktige posisjon til en hver tid. Vil ikke si det er «blåst ut av proposisjoner», strengt talt svært alvorlig.

    • Martin Gundersen (NRK) (svar til Bjørn)

      Hei, du har rett i at det finnes mange overvåkningsmuligheter i 2020. Vi valgte å omtale denne da det er en stor produsent og at slike hendelser viser at produkter vi bruker kan ha feil eller svakheter ved seg.

      Selskapet har også fått god plass til å svare for seg og fått fortalt sin side av historien.

Legg igjen en kommentar til berit Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.