Пользователь сайта Habr обнаружил, что популярные детские смарт-часы могут нести в себе серьезную опасность. Результатами своего исследования он поделился с подписчиками.
Купив ребенку смарт-часы одного из популярных брендов, dinikin решил разобраться, насколько безопасным может быть их использование. Выяснилось, что приложение для смартфона, которое "общается" с часами, передает личную информацию на удаленный сервер по обычному протоколу HTTP без шифрования трафика. Это может позволить злоумышленникам перехватывать данные.
Позднее dinikin обнаружил, что путем несложных манипуляций взломщики могут получать подробную информацию о ребенке, включая имя, дату рождения, номер телефона, адрес электронной почты родителей. Кроме того, в фирменном приложении обнаружилась возможность "добавить" чужого ребенка и следить за его перемещениями.
Автор исследования подчеркнул, что ему удалось связаться с производителем часов - китайской компанией Wherecom, после чего часть уязвимостей была закрыта. В то же время, по его словам, аудит безопасности в отношении таких гаджетов не проводится практически ни одним из производителей.
Обновлено. Ситуацию прокомментировал Йозеф Закс, CEO компании Elari, продающей детские смарт-часы под этим брендом.
"Перечисленные уязвимости, действительно, присутствовали в ПО наших часов. И мы благодарны Денису Козенко из Украины, который помог нам их выявить и устранить, , - заявил он. - Тем не менее Денис зачем-то сгустил краски в своих публикациях: профессионал в сфере IT, озадачившийся целью взломать систему, действительно мог увидеть местоположение какого-то чужого ребенка, однако без конкретных данных о нем. Кроме того, это нельзя было сделать незаметно для родителей. Поэтому мы призываем пользователей не преувеличивать значение этой проблемы, тем более что на текущий момент данные уязвимости устранены. Бренд Elari – лидер среди производителей носимой электроники в РФ, и мы активно работаем над тем, чтобы сделать приложение Elari SafeFamily еще более надежным: в ближайшее время выйдет ряд обновлений, улучшающих защиту ПО от попыток взлома".