«Доктор Веб» обнаружил уязвимости в детских смарт-часах

02.11.2021 Распечатать новость

Родители всегда стремятся позаботиться о своих детях. Благодаря развитию технологий все чаще в этом им помогают различные компактные носимые устройства — смарт-часы и GPS-трекеры. Все больше моделей таких устройств по функциональности приближаются к полноценным смартфонам. Многие из них позволяют отслеживать местоположение ребенка и маршрут его передвижения через спутниковую систему навигации, совершать и принимать телефонные звонки (в том числе по видеосвязи), получать СМС, голосовую почту, по команде делать фотографии через встроенную камеру и даже прослушать окружение, а также имеют возможность дистанционного управления. Компания «Доктор Веб» проанализировала потенциальные угрозы, которые таит в себе использование подобных гаджетов.

Собираемые в процессе работы этих устройств данные обычно передаются на серверы производителей и доступны родителям через персональные учетные записи. При этом информация, которую можно получить с помощью «умных» часов, является очень чувствительной. Если она попадет в руки злоумышленников, детям может угрожать серьезная опасность.

Чтобы понять, насколько уязвимы детские смарт-часы и каковы потенциальные риски их использования, специалисты компании «Доктор Веб» исследовали несколько популярных моделей: Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite, Smart Baby Watch Q19. Выбор моделей основывался на публичных рейтингах популярности смарт-часов в России, при этом целенаправленно выбирались устройства разной ценовой категории. Все смарт-часы были приобретены в крупном российском онлайн-магазине анонимно.

При исследовании выполнялся как статический, так и динамический анализ: поиск потенциальных закладок в ПО и возможного присутствия недокументированных функций, а также проверка передаваемых в интернет данных и их защищенность.

Смарт-часы Elari Kidphone 4G

Анализ показал, что управляющий сервер, куда часы передают собираемые данные, расположен за пределами России, что может представлять потенциальную опасность. Однако главная угроза этой модели исходит от установленного на ней ПО. В прошивку часов встроено приложение для автоматического обновления «по воздуху» — и оно содержит троянские функции.

Смарт-часы Wokka Lokka Q50

Анализ сетевой активности этой модели не выявил каких-либо подозрительных действий. Данные о местоположении ребенка, которые собираются в процессе работы часов, по умолчанию передаются на расположенный в России сервер. При этом отправка чувствительной информации на сторонние серверы не наблюдалась.

Потенциальную опасность для пользователей Wokka Lokka Q50 может представлять то, что передача данных геолокации на сервер происходит в открытом виде, без шифрования. Теоретически злоумышленники могут перехватить незащищенные данные, выполнив атаку типа «человек посередине». Однако поскольку отправка информации происходит через мобильную сеть оператора, вероятность подобной атаки не так велика.

Смарт-часы Elari FixiTime Lite

При анализе сетевой активности часов Elari FixiTime Lite не было выявлено каких-либо подозрительных действий. Однако управляющий сервер, на который пересылаются собираемые данные, находится за пределами России. Кроме того, информация о GPS-координатах передается на сервер по протоколу MQTT в незашифрованном виде, как и в случае с часами Wokka Lokka Q50. Также через незащищенный протокол HTTP передаются и фотографии с голосовыми сообщениями. В случае успешной атаки «человек посередине» злоумышленники смогут перехватить эти данные.

Потенциальную опасность в этих смарт-часах представляет и то, что пароль для подключения к протоколу MQTT для передачи данных телеметрии жестко прописан в прошивке устройства. Если злоумышленнику будет известен IMEI часов и этот пароль, он сможет подключиться к серверу и «притвориться» атакованным устройством, передавая поддельные данные.

Смарт-часы Smart Baby Watch Q19

Анализ часов не выявил подозрительной активности, а также наличия управляющих команд, использование которых могло бы привести к утечке конфиденциальной информации. Собираемые часами данные передаются на управляющий сервер в зашифрованном виде, поэтому для злоумышленников получить к ним доступ будет непросто. Потенциальную угрозу, однако, представляет то, что этот сервер находится не на территории России. Кроме того, для отправки управляющих команд по СМС в них также используется стандартный пароль 123456. Однако в данной модели часов список доступных команд значительно сокращен.

Выводы

Проведенный анализ показал, что в целом безопасность детских смарт-часов находится на весьма неудовлетворительном уровне. Исследование затронуло несколько моделей, однако проблема этих устройств заключается в том, что на разных моделях могут использоваться схожие прошивки и ПО.

Смарт-часы — удобное и относительно недорогое решение для защиты и наблюдения за ребенком. Но вместе с пользой такие устройства могут нести и определенные риски: без разрешения передавать конфиденциальную информацию сторонним сервисам, выполнять вредоносные функции и даже контролироваться злоумышленниками при взломе, подвергая детей опасности.

Родителям следует с осторожностью использовать такие устройства для контроля за детьми и взвешенно подходить к их покупке. Ведь может случиться так, что выбранная модель трекера принесет больше вреда, чем пользы.

Полное исследование вы можете найти на сайте. Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.

Служба поддержки
Возникли вопросы?