Sikkerhetsselskap hevder de fant «bakdør» i barneklokke. Spekulativt, mener den norske produsenten

Forbrukerrådet ser ingen grunn til å gå videre med saken.

Mange belager seg på en sporingsbar smartklokke for å vite hvor barnet deres er. Ole Henrik Johansen / Tek.no

Vegar Jansen 15 Okt 2020 18:00

Sikkerhetselskapet Mnemonic Labs hevder i en lang bloggpost lagt ut mandag denne uken at den «norske» smartklokka Xplora 4 har, eller hadde, en «bakdør».

Xplora 4 er en avansert klokke ment for barn. Den er utstyrt med SIM-kort slik at foreldre og barn kan ringe til hverandre, samt GPS som gjør at foreldre og foresatte eventuelt også kan spore sine håpefulle.

En bakdør er en intensjonell funksjon, og i dette tilfellet skulle den blant annet kunne brukes for å sende GPS-data eller ta bilder med enhetens kamera. Dette krever dog en helt spesielt kodet SMS sendt til mobilen.

Innlegget ble plukket opp av en rekke nettsider, også internasjonalt, og amerikanske Ars Technica skrev om « en udokumentert bakdør som tar skjulte bilder i en smartklokke for barn ».

Xplora Technologies, som står bak produktet, sier på sin side at det hele er en menneskelig glipp. Ifølge dem ble bakdøren slettet i en obligatorisk oppdatering den 9. oktober – altså før Mnemonic Labs la ut sine funn.

Sten Kirkbak i Xplora Technologies. Xplora

– Funksjonaliteten og tilhørende kodelinjer ble opprinnelig lagt inn med vår hensikt for å beskytte brukerne i en nødsituasjon. Det skulle tillate at foreldre fjernstyrer lokalisering, opptak og bildefunksjonen på klokken, men ble aldri tatt i bruk på grunn av nyere personvernregler, sier Sten Kirkbak, som er grunnlegger av og administrerende direktør i Xplora Technologies.

Han hevder videre at selskapet har undersøkt om noen har utnyttet adgangen, men at de ikke har funnet indikasjoner på at de potensielle sikkerhetsutfordringene er blitt misbrukt.

Vanskelig å utnytte

Mnemonic koblet seg til klokken ved å modifisere en USB-kabel. Mnemonic Labs

Xplora peker også på at det ville vært svært vanskelig for en tredjeperson å utnytte denne bakdøren, da det både krever en unik krypteringskode og klokkens telefonnummer.

Videre blir alle slike utgående data sendt til selskapets egne servere, som i teorien kun vil være tilgjengelige for autoriserte brukere.

Etter henvendelse fra Tek.no innrømmer også Mnemonic at de ikke har undersøkt hvilke muligheter som eventuelt finnes for å bruke metoden for å sende data til en annen server. De skriver også at de ikke har prøvd å gjenta sitt eksperiment etter at Xplora oppdaterte klokken, og at det er usannsynlig at en tredjepart kan benytte en slik bakdør.

Problemet, ifølge Mnemonic, er at Xplora og deres kinesiske samarbeidspartner potensielt har/har hatt tilgang til disse udokumenterte funksjonene.

Diskusjon om partner

Mnemonic mener at Xplora 4 er lagd av kinesiske Qihoo 360 Technology, som i hvert fall USA har et anstrengt forhold til om dagen.

Xplora mener på sin side at de forholder seg til et datterselskap av Qihoo kalt 360 Kids Guard, som ikke er på den samme «fy-lista».

Sten Kirkbak illustrerer dette ved at klokka bruker en prosessor fra amerikanske Qualcomm, som neppe får lov til å selge sine produkter til Qihoo eller andre selskaper på USAs sanksjonsliste. Men Qualcomm kan altså levere til 360 Kids Guard – som ifølge Xplora er produsenten av klokka og heller ikke er omfattet av sanksjonene.

Kirkbak mener videre at Mnemonics innlegg er ubalansert og spekulativ, og reagerer på at de ikke fikk mulighet til å oppklare åpenbare misforståelser og uklarheter direkte.

Med en slik SMS skal Mnemonic Labs ha tatt et bilde i smug med klokken. Mnemonic

Til Tek.no skriver Mnemonic at de ikke oppfatter at de spekulerer i årsaken, og at intensjonen heller ikke er poenget – men at problemet er at bakdøren eksisterer (eller eksisterte, alt ettersom, journ.anm.).

– Man har gått gjennom prosessen med å planlegge, utvikle og implementere disse funksjonene, og til slutt har Xplora/Qihoo tilgang til disse udokumenterte funksjonene. Dette er ikke bare en klokke med smarte egenskaper, men som nevnt en Android-smarttelefon som har mulighet til å aktivere skjult overvåkning med én SMS, skriver Rikke Klüver Stenerud, som jobber med kommunikasjon i Mnemonic.

Kirkbak i Xplora Technologies reagerer på sin side på Mnemonics arbeids- og publiseringsprosess.

– Vi har gjort en menneskelig feil, og det er vi åpne med. Da vi først fikk vite om glippen, tettet vi hullet i løpet av 36 timer. Det merkelige er likevel at vi ikke fikk vite om denne svakheten via Mnemonic selv, men at det kom gjennom en amerikansk journalist . Er dette blitt en normal måte for et sikkerhetsselskap å jobbe på, spør Sten Kirkbak retorisk.

For ordens skyld – Tek.no har fått tilgang på skjermbilder av dokumenter som underbygger at dette var en ønsket og planlagt funksjon, som senere ble trukket fra spesifikasjonene på grunn av GDPR (personvernforordningen).

Noen har altså glemt å fjerne disse funksjonene. At det er brukt betegnelser som «WIRETAP», «REMOTE_SNAPSHOT» og «SEND_SMS_LOCATION» tyder også på at det ikke har vært noen plan om hemmelighetshold.

– Det er heller ikke slik at persondata faktisk har kommet på avveie her. Mnemonic har hatt fysisk tilgang på en Xplora 4-klokke, men ikke klart noe mer enn å sende et bilde til vår egen server i Frankfurt, påpeker Kirkbak.

Forbrukerrådet: – Kommer ingen klage

Xplora og andre aktører i samme bransje har vært under søkelyset fra Mnemonic før.

Det var 2017, og da på oppdrag fra norske forbrukermyndigheter. Det endte i et par oppvaskrunder , der Xplora skal ha tettet sine påpekte sikkerhetshull. Men denne gangen har ikke Forbrukerrådet noe med saken å gjøre, selv om de også er blitt gjort oppmerksomme på resultatene.

Finn Myrstad i Forbrukerrådet. Forbrukerrådet

– Da den nye undersøkelsen ikke er vår, har vi vanskelig for å kommentere sikkerhetsfunnet og hvor alvorlig det er, og viser til Mnemonic sine uttalelser på det, sier Finn Myrstad, som er fagdirektør digitale tjenester i Forbrukerrådet.

Men Myrstad er klar på at de ikke har planer om å sende noen klage til Forbrukertilsynet og Datatilsynet basert på Mnemonics nye funn, og kjenner heller ikke til at disse organene har planer om å følge opp dette.

Mnemonic bekrefter overfor Tek.no at den nye undersøkelsen av Xplora stammer fra ren nysgjerrighet etter å ha undersøkt slike klokker tidligere.

– Slik vi ser det, handler dette om noe større enn én type klokke, men problemer i slike typer IoT- og mobilenheter. Disse er enheter med mikrofon-, GPS- og kamerafunksjonaliteter, og man finner de overalt. Det er ikke bare brukeren av enheten selv dette gjelder, men de rundt også, opplyser Rikke Klüver Stenerud i Mnemonic.

Smartklokker av denne typen kan spores. Xplora

Hun legger til at de er nysgjerrige på om dette også kan være gjort på andre Android-enheter, og etterlyser flere undersøkelser fra det globale sikkerhetssamfunnet.

– Leverandører har ansvar for sikkerheten i produktene sine, og sikkerhetsbransjen og allmennheten må holde de til det ansvaret.

Forbrukerrådet ser også rom for forbedring.

– På generelt grunnlag, så ser vi med bekymring over at det flere og flere forbrukerprodukter kobles til nett, uten at det finnes bindende minimumsregler for IKT-sikkerhet i Norge eller EU. Verdikjedene er kompliserte og det er vanskelig å holde aktører ansvarlige, sier Finn Myrstad i Forbrukerrådet.

Xplora-sjef Sten Kirkbak mener også det er svært viktig og bra at testing blir utført.

– Det må ikke misforstås – vi er positive til testing. Men vi mener også at etablerte normer og modeller for gjennomføring av slike tester bør følges. Vi er kritiske til at det etterlatte inntrykket fra rapport og følgende mediedekning er knyttet til spekulasjon rundt intensjonen bak koden. Dette burde Mnemonic utelatt, eller som minimum ha gått gjennom vår dokumentasjon, sier Kirkbak til Tek.no.