Шпигун на руці. У дитячих розумних годинниках декількох брендів знайдені вразливості

13 грудня 2019, 16:03

Дослідники безпеки виявили уразливості в «розумних годинниках» для дітей, які дозволяють незнайомцям стежити за неповнолітніми.

Проблеми знайшлися в низці дитячих розумних годинників з підтримкою GPS. Дослідження проводили в компанії Rapid7 Inc під керівництвом Дерала Хейланда.

Дерал з колегами придбали на Amazon три різних бренди: Children’s SmartWatch, G36 Children’s Smartwatch, а також SmarTurtles Kid’s Smartwatch. В ході розслідування дослідники встановили, що всі три продукти мають практично однакові апаратне і програмне забезпечення, тому всі описані результати впливають на всі три гаджета.

Відео дня

Хоча тільки одна з цих проблем пов’язана з технічною вразливістю — відсутністю функціональної фільтрації SMS — дві інші проблеми, які дослідники визначили, були теж тривожними: це недокументований пароль, який буде використовуватися для зв’язку з пристроями, а також відсутність зв’язку з виробниками цих пристроїв.

Для двох пристроїв постачальники, очевидно, існують виключно як магазини на Amazon, і будь-які спроби зв’язатися з цими постачальниками в приватному порядку виявилися неможливими. Третій, SmarTurtles, має окремий веб-сайт, але, схоже, немає механізму для зв’язку з цим постачальником.

Всі три моделі GPS-годинників використовують або SETracker, або SETracker2 як серверного хмарного сервісу та мобільного застосування для платформ iPhone і Android. Обидві версії SETracker надані розробником «wcr.» Служба індексації додатків AppBrain вказує, що wcr є обліковим записом розробника, пов’язаного з 3G Elec, китайською компанією, що базується в Шеньчжені. Що стосується апаратного забезпечення, то всі три пристрої, мабуть, є фірмовими ребрендамі 3G Elec.

Незважаючи на те, що для 3G Elec була визначена адреса електронної пошти, будь-які спроби зв’язатися і обговорити ці проблеми були зірвані через технічні проблеми.

Для управління годинниками використовуються SMS, але годинники сприймають повідомлення не тільки з заздалегідь визначеного телефонного номера, але і з будь-якого іншого. Відсутність фільтрації дозволяє зловмисникам віддалено змінювати налаштування годинника.

Інша слабке місце — недокументований пароль за замовчуванням, який використовується для зв’язку з пристроями. За замовчуванням паролем служить рядок «123 456». При цьому в документації або взагалі відсутня згадка про це, або не сказано, як можна змінити пароль.

З огляду на постійний пароль за замовчуванням і відсутність фільтрації SMS, цілком можливо, що зловмисник, який знає номер телефону на годиннику може взяти на себе повний контроль над пристроєм і, отже, використовувати функції відстеження і голосового чату з тими ж дозволами, що і у законного користувача.

На жаль, не існує будь-якого механізму для вирішення проблеми фільтрації SMS без оновлення вбудованого програмного забезпечення, а таке оновлення навряд чи буде реалізовано, враховуючи, що постачальника цих пристроїв важко або неможливо знайти.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X