13.10.20203 min

Redakcja Bulldogjob

Smartwatche dla dzieci z podatnością na śledzenie i sterowanie funkcjami

Luka w smartwatchach dla dzieci pozwala na robienie zdjęć otoczenia, nagrywanie audio i śledzenie lokalizacji użytkowników.

Smartwatche dla dzieci z podatnością na śledzenie i sterowanie funkcjami

Okazało się, że smartwatch Xplora 4, który został wykonany przez firmę Qihoo 360 Technology Co i jest kierowany przez wytwórcę głównie do dzieci w Europie i USA, może sekretnie robić zdjęcia, nagrywać audio i śledzić lokalizację użytkowników, kiedy uruchomi się go zaszyfrowaną wiadomością SMS. Odkrycia dokonała norweska firma badająca bezpieczeństwo o nazwie Mnemonic. Powyższe czynności są możliwe dzięki luce w zabezpieczeniach, która (uwaga) nie jest błędem w kodzie, ale zaimplementowaną funkcją. 

Według Xplory luka jest po prostu nieużywanym kodem, który nieopatrznie trafił do finalnej wersji produktu, i już podjęte zostały kroki w celu jej załatania. Wadliwy kod nie jest jednak aż tak łatwo dostępny, bo funkcja została odrzucona podczas testów.

Wpadka ta jest dosyć poważna i potwierdza obawy co do bezpieczeństwa zegarków Xplory, które pojawiały się już w 2017 roku. 


Eksploatowanie luki

Według tego, co mówi firma Mnemonic, Xplora 4 zawiera pakiet o nazwie Persistent Connection Service, który działa w momencie odpalania Androida i iteruje po zainstalowanych aplikacjach, w celu utworzenia listy opisu komend o nazwie intent

Dzięki właściwej komendzie intent zaszyfrowana wiadomość SMS, którą otrzymuje odpowiednia aplikacja Qihoo, może zostać przekazana przez dyspozytora komend we wcześniej wspomnianym pakiecie, co uruchomi z kolei funkcję stworzenia zrzutu pamięci urządzenia. 

Wyeksploatowanie luki wymaga też wiedzy na temat numeru telefonu urządzenia, w które celujemy, oraz jego klucza zabezpieczeń wgranego przez producenta. Warto tutaj też zaznaczyć, że kradzież danych będzie ostatecznie wymagała fizycznego dostępu do urządzenia, co jest jednak tylko możliwe przy pomocy specjalistycznych narzędzi i jego faktycznej kradzieży.

Rzecznik Xplory zaznaczył, że nawet jeśli obydwa powyższe warunki zostaną spełnione to obraz uchwycony przez smartwatch zostanie wysłany tylko do dobrze chronionych serwerów AWS w Niemczech, gdzie Xplora przechowuje swoje dane. 

Nie ma więc powodu do obaw, prawda?


Skąd wzięła się luka?

Xplora twierdzi, że wszystko zaczęło się od feedbacku rodziców na temat smart zegarka, którzy domagali się możliwości skontaktowania się ze swoimi pociechami w nagłych i niebezpiecznych przypadkach oraz chcieli móc zobaczyć obraz otoczenia zegarka w przypadku, gdyby dziecko zostanie np. porwane. 

Xplora wdrożyła zatem jako test m.in. możliwość uchwycenia zdjęcia otoczenia zegarka, ale postanowiła ostatecznie nie implementować wszystkich żądanych funkcji jako część oficjalnego wydania właśnie ze względu na obawy o naruszenia prywatności. 


Podsumowanie

Xplora utrzymuje, że jest świadoma raportu norweskiej firmy i przeprowadza właśnie audyt. Firma utrzymuje, że luka nie była jeszcze do tej pory eksploatowana, pomimo że sprzedano już około 35 000 urządzeń. 

Powyższy przypadek jest kolejnym przykładem tego, jak bardzo urządzenia IoT mogą być odsłonięte — jedna mała luka i prywatność użytkowników (w tym przypadku dzieci) jest poważnie zagrożona. 

Mieliśmy już przypadek z ekspresem do kawy, który żądał okupu i wylewał wrzątek w niekontrolowany sposób — smartwatch z tak poważną luką dołącza do listy argumentów przemawiających za tym, że dla Internetu rzeczy jednym z najpoważniejszych wyzwań będzie właśnie bezpieczeństwo.

<p>Loading...</p>

Powiązane artykuły

Dziel się wiedzą ze 160 tysiącami naszych czytelników

Zostań autorem Readme

Hitachi Energy

Security Architect

senior

15 000 - 21 000 PLN

Umowa o pracę

Kraków

Praca zdalna 100%

Ważna do 26.02.2022

Bardzo dobrze
Microsoft Azure and/or AWS

Hitachi Energy

Product Development Manager

senior

15 000 - 20 000 PLN

Umowa o pracę

Kraków

Praca zdalna 100%

Ważna do 26.02.2022

Bardzo dobrze
AgileSoftware Development Life Cycle Leadership skills

Simple SA

Java Developer (Mid/Senior)

medium

7 000 - 15 000 PLN

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 26.02.2022

Dobrze
JavaSpringSpring Boot

Asseco Poland S.A.

Administrator / Starszy Administrator Systemów IT

medium

Brak widełek

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 26.02.2022

Dobrze
PostgreSQLBash

Nokia

5G Automation Engineer, IODT

medium

Brak widełek

Umowa o pracę

Wrocław

Praca zdalna 100%

Ważna do 13.03.2022

Divante

Senior Vue.js Developer

senior

15 300 - 23 500 PLN

Kontrakt B2BUmowa o pracę

Wrocław

Praca zdalna 100%

Ważna do 13.03.2022

Dobrze
JavaScriptTypeScriptVue.js

T-Mobile Polska S. A.

Frontend Developer

medium

Brak widełek

Kontrakt B2B

Warszawa

Ważna do 26.02.2022

Bardzo dobrze
ReactReduxNode.js

Commerzbank - Centrum Technologii Cyfrowych w Polsce

Business Expert for Risk Applications

medium

Znamy widełki

Umowa o pracę

Łódź

Ważna do 26.02.2022

Dobrze
SQLMS Office
Początkująco
SAS / R / Python

Commerzbank - Centrum Technologii Cyfrowych w Polsce

Business Expert with German for Risk Analytics

medium

Znamy widełki

Umowa o pracę

Łódź

Ważna do 26.02.2022

Dobrze
MS Office
Początkująco
SQL / VBA / PythonQlik Sense / Qlik View / Arcadia