Smartwatche dla dzieci z podatnością na śledzenie i sterowanie funkcjami

Okazało się, że smartwatch Xplora 4, który został wykonany przez firmę Qihoo 360 Technology Co i jest kierowany przez wytwórcę głównie do dzieci w Europie i USA, może sekretnie robić zdjęcia, nagrywać audio i śledzić lokalizację użytkowników, kiedy uruchomi się go zaszyfrowaną wiadomością SMS. Odkrycia dokonała norweska firma badająca bezpieczeństwo o nazwie Mnemonic. Powyższe czynności są możliwe dzięki luce w zabezpieczeniach, która (uwaga) nie jest błędem w kodzie, ale zaimplementowaną funkcją. 

Według Xplory luka jest po prostu nieużywanym kodem, który nieopatrznie trafił do finalnej wersji produktu, i już podjęte zostały kroki w celu jej załatania. Wadliwy kod nie jest jednak aż tak łatwo dostępny, bo funkcja została odrzucona podczas testów.

Wpadka ta jest dosyć poważna i potwierdza obawy co do bezpieczeństwa zegarków Xplory, które pojawiały się już w 2017 roku. 

Eksploatowanie luki

Według tego, co mówi firma Mnemonic, Xplora 4 zawiera pakiet o nazwie Persistent Connection Service, który działa w momencie odpalania Androida i iteruje po zainstalowanych aplikacjach, w celu utworzenia listy opisu komend o nazwie intent. 

Dzięki właściwej komendzie intent zaszyfrowana wiadomość SMS, którą otrzymuje odpowiednia aplikacja Qihoo, może zostać przekazana przez dyspozytora komend we wcześniej wspomnianym pakiecie, co uruchomi z kolei funkcję stworzenia zrzutu pamięci urządzenia. 

Wyeksploatowanie luki wymaga też wiedzy na temat numeru telefonu urządzenia, w które celujemy, oraz jego klucza zabezpieczeń wgranego przez producenta. Warto tutaj też zaznaczyć, że kradzież danych będzie ostatecznie wymagała fizycznego dostępu do urządzenia, co jest jednak tylko możliwe przy pomocy specjalistycznych narzędzi i jego faktycznej kradzieży.

Rzecznik Xplory zaznaczył, że nawet jeśli obydwa powyższe warunki zostaną spełnione to obraz uchwycony przez smartwatch zostanie wysłany tylko do dobrze chronionych serwerów AWS w Niemczech, gdzie Xplora przechowuje swoje dane. 

Nie ma więc powodu do obaw, prawda?

Skąd wzięła się luka?

Xplora twierdzi, że wszystko zaczęło się od feedbacku rodziców na temat smart zegarka, którzy domagali się możliwości skontaktowania się ze swoimi pociechami w nagłych i niebezpiecznych przypadkach oraz chcieli móc zobaczyć obraz otoczenia zegarka w przypadku, gdyby dziecko zostanie np. porwane. 

Xplora wdrożyła zatem jako test m.in. możliwość uchwycenia zdjęcia otoczenia zegarka, ale postanowiła ostatecznie nie implementować wszystkich żądanych funkcji jako część oficjalnego wydania właśnie ze względu na obawy o naruszenia prywatności. 

Podsumowanie

Xplora utrzymuje, że jest świadoma raportu norweskiej firmy i przeprowadza właśnie audyt. Firma utrzymuje, że luka nie była jeszcze do tej pory eksploatowana, pomimo że sprzedano już około 35 000 urządzeń. 

Powyższy przypadek jest kolejnym przykładem tego, jak bardzo urządzenia IoT mogą być odsłonięte — jedna mała luka i prywatność użytkowników (w tym przypadku dzieci) jest poważnie zagrożona. 

Mieliśmy już przypadek z ekspresem do kawy, który żądał okupu i wylewał wrzątek w niekontrolowany sposób — smartwatch z tak poważną luką dołącza do listy argumentów przemawiających za tym, że dla Internetu rzeczy jednym z najpoważniejszych wyzwań będzie właśnie bezpieczeństwo.