CRITICAL🇬🇧 English

CVE-2024-36554

Forever KidsWatch KW-50/KW-60 — wyciek danych przez SMS

CVSS 9.8v3.1pub. 2025-02-06upd. 2026-04-15

Smartwatche dla dzieci Forever KidsWatch Call Me KW-50 i KW-60 ujawniają wrażliwe informacje o urządzeniu w odpowiedzi na spreparowaną wiadomość SMS. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani fizycznego dostępu — wystarczy znać numer telefonu karty SIM w zegarku.

Pokaż oryginał (EN)

Forever KidsWatch Call Me KW-50 R36_YDR_A3PW_GM7S_V1.0_2019_07_15_16.19.24_cob_h and Forever KidsWatch Call Me KW-60 R36CW_YDE_S4_A29_2_V1.0_2023.05.24_22.49.44_cob_b allow a malicious user to gain information about the device by sending an SMS to the device which returns sensitive information.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie przygotowaną wiadomość SMS na numer telefonu przypisany do zegarka. Urządzenie automatycznie przetwarza taką wiadomość i odsyła w odpowiedzi wrażliwe informacje o sobie. Mechanizm nie wymaga interakcji użytkownika ani posiadania jakichkolwiek uprawnień — wystarczy dostęp do sieci GSM.

Skutki

Atakujący może zdalnie pozyskać wrażliwe informacje o urządzeniu, co może prowadzić do naruszenia prywatności dziecka oraz umożliwić dalsze ataki na zegarek lub jego użytkowników.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji firmware zaleca się monitorowanie aktywności SMS urządzenia oraz rozważenie ograniczenia możliwości odbierania wiadomości SMS z nieznanych numerów, jeśli platforma zarządzająca zegarkiem to umożliwia.

Kogo dotyczy

Forever KidsWatch Call Me KW-50 z firmware R36_YDR_A3PW_GM7S_V1.0_2019_07_15_16.19.24_cob_h oraz Forever KidsWatch Call Me KW-60 z firmware R36CW_YDE_S4_A29_2_V1.0_2023.05.24_22.49.44_cob_b

Uwagi

Podatność została opisana w pracy badawczej opublikowanej w repozytorium DiVA (diva2:1933447) pod tytułem 'Exploiting Vulnerabilities to Remotely Hijack Children's Smartwatches'. Urządzenia te są przeznaczone dla dzieci, co nadaje podatności szczególny wymiar związany z ochroną małoletnich.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2024-36554 — Forever KidsWatch KW-50/KW-60 — wyciek danych przez SMS — CRITICAL 9.8 | CVEbaza.pl