Smartwatche dla dzieci z poważną luką. Hakerzy mogą po kryjomu robić zdjęcia

Strona główna Aktualności
fot. Alex Wong/Getty Images
fot. Alex Wong/Getty Images

O autorze

Norwescy specjaliści z firmy Mnemonic wykryli podatność w smartwatchach dla dzieci marki Xplora. Luka bezpieczeństwa pozwala na wykonywanie zdjęć i wiele innych niepożądanych czynności.

Sprawa dotyczy modelu Xplora X4 opartego o system Android. Pozwala on między innymi na wykonywanie i dobieranie połączeń od numerów zaakceptowanych przez rodziców (w osobnej aplikacji do kontroli rodzicielskiej), a także przesyłanie SOS-a do wybranych kontaktów z dokładną lokacją zegarka. Rodzice z kolei za pomocą wspomnianej wcześniej aplikacji mogą także wyznaczyć dziecku granice bezpiecznego terenu, a zegarek będzie je ostrzegał, gdy znajdzie się poza nim.

Według ustaleń firmy Mnemonic gadżet jest jednak podatny na ataki, którymi hakerzy uzyskują dostęp do aparatu, mogą podsłuchiwać rozmowy, a także przechwytywać informacje o położeniu w czasie rzeczywistym. Przejąć kontrolę nad tymi aspektami można po wysłaniu zaszyfrowanego SMS-a (ze specjalnymi komendami) zaadresowanego do posiadacza zegarka.

Jak się okazuje, duża część preinstalowanych aplikacji na smartfonie jest dziełem chińskiej firmy Qihoo 360, a wspomniana luka to tak naprawdę nieudokumentowana funkcjonalność, która działa na zasadzie tzw. backdoora.

- Nie chciałbym takich opcji w urządzeniu współtworzonym przez taką firmę – powiedział Harrison Sand, badacz firmy Mnemonic. No właśnie, jaką firmę? Otóż okazuje się, że Qihoo 360 zostało umieszczone na czarnej liście przez Departament Handlu Stanów Zjednoczonych. Jest to świadectwo tego, że amerykański rząd podejrzewa Qihoo 360 o działanie sprzeczne z interesami bezpieczeństwa USA.

Całe szczęście prawdopodobieństwo ataku jest tutaj ograniczone. Sprawca musiałby znać numer telefonu przypisany do zegarka (który dysponuje slotem na kartę SIM), a także klucz szyfrujący zaszyty w systemie każdego urządzenia tego typu.

Xplora sprzedała do tej pory 100 tysięcy takich zegarków. Firma zapowiedziała wdrożenie aktualizacji eliminującej backdoora w najbliższym czasie. Portal Ars Technica poprosił także Qihoo 360 o komentarz, ale chińska korporacja nie udzieliła wypowiedzi.

© dobreprogramy
s