Детские смарт-часы Xplora 4 могут тайно следить за пользователями — yo-robot.ru

Xplora 4 Qihoo 360 IoT

Часы способны делать фотографии, отправлять данные местоположения и записывать аудио по специальной команде.

«Умные» часы Xplora 4 от китайской компании Qihoo 360 Technology Co., предназначенные для детей, могут скрытно делать фотографии и записывать аудио при активации путем зашифрованного SMS-сообщения. Как сообщили эксперты из ИБ-компании Mnemonic, бэкдор представляет собой не уязвимость, а преднамеренно скрытый функционал.

«Бэкдор сам по себе не является уязвимостью. Это набор намеренно разработанных функций, которые включают удаленную съемку фотографий, отправку данных о местоположении и прослушивание телефонных разговоров через встроенный микрофон. Бэкдор активируется путем отправки SMS-команд на устройство», — сообщили специалисты.

Согласно Mnemonic, Xplora 4 содержит пакет под названием «Persistent Connection Service», который запускается во время процесса загрузки Android и перебирает установленные приложения для создания списка «намерений» (команд для вызова функций в других приложениях).

При соответствующем намерении Android входящее зашифрованное SMS-сообщение, полученное приложением Qihoo SMS, может быть направлено через диспетчер команд в службе постоянного подключения для запуска команды приложения, такой как удаленной снимок памяти.

Для использования этого бэкдора необходимо знать номер телефона целевого устройства и его заводской ключ шифрования. По словам исследователей, эта информация известная компаниям Qihoo и Xplora, однако злоумышленник с физическим доступом к устройству может похитить данные с помощью специальных инструментов.

Как утверждают представители компании, проблема связана с неиспользованным кодом из прототипа, который в настоящее время исправлен. Когда разрабатывались «умные» часы, родители предоставили отзывы и пожелания иметь возможность связаться со своими детьми в чрезвычайной ситуации и получать изображения местоположения в случае похищения. Xplora включила данные функции в прототипе, но решила не реализовывать их в коммерческой версии из соображений конфиденциальности.

Источник: securitylab.ru

Вы можете оставить комментарий, или ссылку на Ваш сайт.


Оставить комментарий

Вы должны войти, чтобы иметь возможность оставлять комментарии.