Smartwatch: backdoor czy ficzer w ~350 000 urządzeniach dla dzieci?

Chodzi o firmę Xplora, a dość rozbudowaną analizę bezpieczeństwa tych produktów znajdziecie tutaj.

zegarek dziecięcy – hacker friendly edition

W największym skrócie, firma była ostatnio brana pod lupę i inna ekipa nie wykryła żadnych istotnych podatności. Z drugiej strony cytowani na początek newsa badacze pokazali, że do urządzenia wystarczy wysłać SMS (zaszyfrowany symetrycznym RC4) aby zupełnie niepostrzeżenie (ekran cały czas pozostaje nieaktywny) zrobił zdjęcie, a następnie wysłał je na chiński serwer.

Uwagę badaczy zwróciły też inne możliwości oferowane przez zegarki:

• com.qihoo.kidwatch.action.REMOTE_EXE_CMD
• com.qihoo.watch.action.WIRETAP_BY_CALL_BACK
• com.qihoo.kids.smartlocation.action.SEND_SMS_LOCATION

Z jednej strony żeby uruchomić szpiegowanie trzeba znać numer SMS danego zegarka (znajduje się on po [chińskiej] stronie serwerowej) oraz jego klucz. Ten ostatni jest na samym zegarku, ale badacze twierdzą że chińska firma nie powinna mieć problemu z jego posiadaniem (choćby z etapu produkcji).

Nagłe / niewidzialne nagrywanie audio / wykonywanie zdjęć / ściągnięcie lokalizacji kilkuset tysięcy urządzeń na całym świecie – na sygnał wysłany z Chin. Abstrakcja? Sianie paniki? A może niepokojąca możliwość?

–ms