Xplora Technologies AS-sjef Sten Kirkbak tilbakeviser rapporten til det norske sikkerhetsselskapet Mnemonic.
Xplora-sjefen uttaler seg til ITavisen
Mnemonic mener at backend-systemet til Xplora X4 sin barneklokke kommuniserer med servere i Kina og at disse har mulighet til å hente inn informasjon som sted, ta bilder og tyvlytte.
Først og fremst påpeker Kirkbak til ITavisen at “tryggheten og personvernet til brukerne av Xploras klokker er vår høyeste prioritet, og vi tar umiddelbart grep dersom vi blir gjort kjent med potensielle utfordringer.”
Videre forklarer Kirkbak til oss at de ble klar over rapporten forrige uke:
“Vi ble i forrige uke orientert av en amerikansk teknologijournalist om en rapport fra Mnemonic som omtalte potensielle informasjonssikkerhetsutfordringer i programvaren i våre smartklokker. Disse utfordringene ble eliminert gjennom en programvareoppdatering allerede fredag i forrige uke. “
Annonse
Etter hva ITavisen erfarer refererer Kirkbak til Ars Technica sin artikkel om saken.
Sikkerhetsselskapet melder på dagens innlegg at “alle de tekniske funnene ble delt med Xplora, inkludert relevante myndigheter før publikasjon”.
Det er ikke Kirkbak helt enig i som mener at rapporten også er spekulativ og ubalansert:
“Vi var ikke blitt kontaktet av Mnemonic i forkant eller underveis i deres arbeid med rapporten, og de ønsket ikke å dele funnene direkte til oss da journalisten tok kontakt. Xplora ble likevel gjort kjent med deler av rapporten av journalisten i forrige uke. Vi mener rapporten er ubalansert og spekulativ, og reagerer på at Mnemonic ikke ga oss mulighet til å oppklare åpenbare misforståelser og uklarheter. Fredag tok vi selv initiativ til å orienterte Mnemonic skriftlig, uten at dette er tatt hensyn til. “
Kirkbak mener at utfordringene Mnemonic nevner er tilknyttet en nødfunksjon i en prototype av klokken:
“Utfordringene påpekt av Mnemonic knyttet seg til nødfunksjoner fra en tidlig prototype av klokken. Det Mnemonic omtalte mot bedre viten, er at funksjonalitet og tilhørende kodelinjer ble lagt inn med vår hensikt for å beskytte brukerne i en nødsituasjon.
Det er direkte misvisende å antyde at vår kinesiske partner 360 Kids Guard kan stå bak kodelinjene. Disse funksjonene tillater at foreldre fjernstyrer lokalisering, opptak og bildefunksjonen på klokken, men ble aldri tatt i bruk på grunn av gdpr (personvernregler). Ved en glipp lå det likevel igjen kodelinjer i programvaren, og disse ble slettet i en obligatorisk oppdatering den 9. oktober klokken 08.00. Det innebærer at sikkerhetsutfordringene Mnemonic problematiserer ikke lenger eksisterer.”
Kirkbak mener at sikkerheten er tatt vare på, og at de ikke kjenner til at noen har utnyttet “potensielle sikkerhetsutfordringene”:
“For å aktivere de nevnte sikkerhetsutfordringer var det behov for svært vanskelig tilgjengelig data i form av en unik krypteringskode og klokkens telefonnummer. Vi har undersøkt nærmere på om noen har utnyttet adgangen, men har ingen indikasjoner på at de potensielle sikkerhetsutfordringene er blitt misbrukt.
Vi noterer oss også at artikkelforfatteren er sitert på at utnyttelse av sikkerhetsutfordringen er ekstremt vanskelig, ettersom det krever tilgang til en unik krypteringsnøkkel og klokkens telefonnummer. Det vil si at du må fysisk ha tilgang til et barns klokketelefon og foreldrenes mobiltelefon. Vårt kundeforhold er til 360 Kids Guard, ikke Qihoo 360 Technology. Funnene får ingen konsekvenser for vårt samarbeid med selskapet, da Mnemonics spekulative påstander ikke medfører riktighet.”
Annonse
