Шпион на руке. В детских умных часах нескольких брендов найдены уязвимости

Исследователи безопасности обнаружили уязвимости в «умных часах» для детей, которые позволяют незнакомцам следить за несовершеннолетними.

Проблемы нашлись в ряде детских умных часов с поддержкой GPS. Исследование проводили в компании Rapid7 Inc под руководством Дерала Хейланда.

Дерал с колегами приобрели на Amazon три разных бренда: Children’s SmartWatch, G36 Children’s Smartwatch, а также SmarTurtles Kid’s Smartwatch. В ходе расследования исследователи установили, что все три продукта имеют практически одинаковое аппаратное и программное обеспечение, поэтому все описанные результаты влияют на все три гаджета.

Хотя только одна из этих проблем связана с технической уязвимостью — отсутствием функциональной фильтрации SMS — две другие проблемы, которые исследователи определили, были тоже тревожными: это недокументированный пароль по умолчанию, используемый для связи с устройствами, а также отсутствие связи с производителями этих устройств.

Для двух устройств поставщики, по-видимому, существуют исключительно как магазины на Amazon, и любые попытки связаться с этими поставщиками в частном порядке оказались невозможными. Третий, SmarTurtles, имеет отдельный веб-сайт, но, похоже, нет механизма для связи с этим поставщиком.

Все три модели GPS-часов используют либо SETracker, либо SETracker2 в качестве серверного облачного сервиса и мобильного приложения для платформ iPhone и Android. Обе версии SETracker предоставлены разработчиком «wcr.» Служба индексации приложений AppBrain указывает, что wcr является учетной записью разработчика, связанной с 3G Elec, китайской компанией, базирующейся в Шэньчжэне. Что касается аппаратного обеспечения, то все три устройства, по-видимому, являются фирменными ребрендами 3G Elec.

Несмотря на то, что для 3G Elec был определен адрес электронной почты, любые попытки связаться и обсудить эти проблемы были сорваны из-за технических проблем.

Для управления часами используются SMS, но часы воспринимают сообщения не только с заранее определенного телефонного номера, но и с любого другого. Отсутствие фильтрации позволяет злоумышленникам удаленно менять настройки часов.

Другое слабое место — недокументированный пароль по умолчанию, который используется для связи с устройствами. По умолчанию паролем служит строка «123 456». При этом в документации либо вообще отсутствует упоминание об этом, либо не сказано, как можно изменить пароль.

Учитывая неизменный пароль по умолчанию и отсутствие фильтрации SMS, вполне возможно, что злоумышленник, который знает номер телефона на часах может взять на себя полный контроль над устройством и, следовательно, использовать функции отслеживания и голосового чата с теми же разрешениями, что и у законного пользователя.

К сожалению, не существует какого-либо механизма для решения проблемы фильтрации SMS без обновления встроенного программного обеспечения, а такое обновление вряд ли будет реализовано, учитывая, что поставщика этих устройств трудно или невозможно найти.