Обнаружены уязвимости в детских смарт-часах

Родители всегда стремятся позаботиться о своих детях. Благодаря развитию технологий все чаще в этом им помогают различные компактные носимые устройства — смарт-часы и GPS-трекеры. Все больше моделей таких устройств по функциональности приближаются к полноценным смартфонам. Многие из них позволяют отслеживать местоположение ребенка и маршрут его передвижения через спутниковую систему навигации, совершать и принимать телефонные звонки (в том числе по видеосвязи), получать СМС, голосовую почту, по команде делать фотографии через встроенную камеру и даже прослушать окружение, а также имеют возможность дистанционного управления. Антивирусная компания «Доктор Веб» сообщила о проведения анализа на потенциальные угрозы, которые таит в себе использование подобных гаджетов.

Собираемые в процессе работы этих устройств данные обычно передаются на серверы производителей и доступны родителям через персональные учетные записи. При этом информация, которую можно получить с помощью «умных» часов, является очень чувствительной. Если она попадет в руки злоумышленников, детям может угрожать серьезная опасность.

Чтобы понять, насколько уязвимы детские смарт-часы и каковы потенциальные риски их использования, специалисты компании «Доктор Веб» исследовали несколько популярных моделей: Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite, Smart Baby Watch Q19. Выбор моделей основывался на публичных рейтингах популярности смарт-часов в России, при этом целенаправленно выбирались устройства разной ценовой категории. Все смарт-часы были приобретены в крупном российском онлайн-магазине анонимно.

При исследовании выполнялся как статический, так и динамический анализ: поиск потенциальных закладок в ПО и возможного присутствия недокументированных функций, а также проверка передаваемых в интернет данных и их защищенность.

Проведенный анализ показал, что в целом безопасность детских смарт-часов находится на весьма неудовлетворительном уровне. Описываемое исследование затронуло несколько моделей, однако проблема этих устройств заключается в том, что на разных моделях могут использоваться схожие прошивки и ПО. Например, прошивки, аналогичные той, что установлены в часах Wokka Lokka Q50, применяются в большом количестве других моделей смарт-часов различных брендов, а также во всевозможных GPS-трекерах. Кроме того, для них также задан стандартный пароль управления через СМС. Следовательно, их пользователи подвержены тем же рискам, что и владельцы часов Wokka Lokka Q50. При этом на рынке постоянно появляются новые модели, и нет гарантии, что и в них не будет каких-либо уязвимостей.

Кроме того, обнаружение предустановленного на смарт-часы Elari Kidphone 4G трояна наглядно демонстрирует, какая опасность может скрываться в устройствах такого типа, работающих под управлением ОС Android. Прошивки для них часто создаются сторонними фирмами, и производители редко проверяют их безопасность и целостность. Следовательно, велика вероятность того, что на одном из этапов производства Android-часов злоумышленники внедрят в них троянское или рекламное ПО.

Основные уязвимости исследованных смарт-часов представлены в сводной таблице:

[email protected]
наверх