Діти в небезпеці: В смарт-годинах виявили серйозну уразливість

Компанія Rapid7, що працює в сфері кібербезпеки, виявила вразливість у ряді дитячих розумних годин з підтримкою GPS. Дослідники придбали на сайті Amazon годинник трьох марок: children's SmartWatch, G36 children's Smartwatch і SmarTurtles kid's Smartwatch. Вивчення пристроїв показало, що вони мають практично однакову апаратне і програмне забезпечення. Точніше кажучи, апаратна частина годин ідентична тій, що використовується в аналогічному пристрої китайської компанії 3G Elec. Всі годинники використовують GPS-трекінг, серверний хмарний сервіс SETracker або SETracker2 і мобільний додаток для iPhone і Android. Судячи з підпису розробника ПО, він пов'язаний з 3G Elec.

Одна технічна сторона уразливості пов'язана з тим, що для управління годинами використовуються SMS, але всупереч опису, годинник сприймають повідомлення не тільки з заздалегідь визначеного номера, але і з будь-якого іншого. Відсутність фільтрації дозволяє зловмисникам віддалено змінювати налаштування годин, прив'язувати їх до інших смартфонів і стежити за дітьми.

Інше слабке місце — недокументовані пароль, що використовується для зв'язку з пристроями. За замовчуванням паролем служить рядок «123456». При цьому в документації або взагалі відсутня згадка про це, або не сказано, як можна змінити пароль.

Ситуацію посилює третій момент, що носить не технічний, а організаційний характер. Всі спроби отримати відомості про постачальників годин або зв'язатися з ними виявилися безуспішними. Це, зокрема, означає, що можна не розраховувати на усунення зазначених вище технічних проблем.

Нагадаємо, раніше повідомлялося, що в Німеччині заборонили дитячі смарт-годинник.

Хочете знати важливі та актуальні новини раніше за всіх? Підписуйтесь на Bigmir)net на Facebook і Telegram.

Категория: Обо всем