Следующая новость
Предыдущая новость

В детских умных часах Xplora нашли бэкдор

13.10.2020 22:12
В детских умных часах Xplora нашли бэкдор

Рекомендуем почитать:

Xakep #257. Pivoting

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты норвежской компании Mnemonic уверены, что обнаружили бэкдор, специально внедренный в детские умные часы Xplora 4, созданные китайской компанией Qihoo 360 Technology Co. Как оказалось, часы могут делать фото и записывать звук, причем эти функции активируются при помощи зашифрованного SMS-сообщения.

По данным производителя, в настоящее время было продано более 350 000 таких Android-устройств, которые позволяют совершать и принимать голосовые вызовы на одобренные родителями номера, а также отправлять тревожный сигнал и данные о метаположении заданным контактам. Отдельное приложение, работающее на смартфонах родителей, позволяет контролировать использование часов и получать предупреждения, если ребенок выходит за пределы определенной географической зоны.

Хотя в Европе и США часы распространяет компания Xplora Mobile AS, аппаратное обеспечение разработано и произведено упомянутой китайской компанией Qihoo 360, а она же ответственна за создание 19 из 90 предустановленных Android-приложений для этих устройств.

«Сам по себе бэкдор уязвимостью не является, — пишут исследователи. — Это набор умышленно разработанных функций с соответствующими именами, которые позволяют удаленно сделать снапшот, сообщить местоположение и организовать прослушку. Бэкдор активируется путем отправки SMS-команд на часы», — рассказывают в Mnemonic.

Исследователи полагают, что умные часы могут использоваться для скрытой съемки фото с помощью встроенной камеры, для отслеживания местоположения владельца, а также для прослушивания телефонных разговоров через встроенный микрофон. Упомянутые «говорящие» имена функций, это WIRETAP_INCOMING, WIRETAP_BY_CALL_BACK, COMMAND_LOG_UPLOAD, REMOTE_SNAPSHOT и SEND_SMS_LOCATION.

Эксперты не утверждают, что такое наблюдение действительно имело место. Дело в том, что для успешной атаки необходимо знать не только номер телефона устройства (в часах есть SIM-карта), но и уникальный ключ шифрования. При этом подчеркивается, что эти данные доступны разработчикам Qihoo 360 и Xplora, а также их можно физически извлечь с устройств при помощи специальных инструментов.

В детских умных часах Xplora нашли бэкдор

Опасения исследователей, в частности, связаны с тем, что ранее Qihoo 360 была внесена в санкционный список Министерства торговли США. Американские власти считают, что правительство Китая могло вынудить компанию заниматься «деятельностью, противоречащей интересам национальной безопасности или внешней политики США». То есть, теоретически, активировать скрытые в часах бэкдоры могут потребовать китайские власти.

Журналисты The Register цитируют комментарий представителей Xplora, которые уверяют, что данная проблема была связана с забытыми в коде остатками прототипа. Якобы во время разработки устройства родители говорили о том, что хотели бы иметь возможность связываться со своими детьми в чрезвычайной ситуации, а также иметь возможность получать данные о местоположении в случае похищения. Позже эту функциональность решили не реализовывать в коммерческой версии устройств по соображениям конфиденциальности.

Также в Xplora подчеркнули, что настоящее время проблема уже исправлена: в конце прошлой недели для часов был выпущен соответствующий патч.

«Важно отметить, что потенциальная уязвимость требует физического доступа к часам X4 и [знания] номера телефона, — комментирует представитель Xplora. — Даже если эта функциональность будет активирована, единственное место, где будут находиться данные — это серверы Xplora в Германии, расположенные в высокозащищенной среде Amazon Web Services, недоступной для третьих лиц. Только два сотрудника Xplora имеют доступ к защищенной БД, где хранится информация о клиентах, и доступ к этой базе данных тщательно отслеживается и регистрируется».

Источник

Последние новости