Dr.Web: в детских «умных» часах обнаружена опасная уязвимость

Безопасность детских «умных» часов, которые можно купить в России, находится на неудовлетворительном уровне, рассказали в беседе с газетой «Коммерсантъ» представители компании «Доктор Веб». Так, смарт-часы Elari Kidphone 4G передают данные о геолокации ребенка на собственный сервер, который расположен за пределами России. Кроме того, в них скрыт троян, который хакеры могут использовать в своих целях, например, для показа рекламы и установки опасных программ. По данным группы «М.Видео-Эльдорадо», часы Kidphone 4G сейчас входят в ТОП-3 самых продаваемых моделей.

В «Докторе Вебе» отметили, что прошивки для «умных» часов под управлением операционной системы Android часто создаются сторонними компаниями. Есть вероятность, что на одном из этапов производства хакеры могут внедрить в них троянское или рекламное программное обеспечение. Помимо этого, в прошивках многих часов, в том числе российских Wokka Lokka, есть еще одна проблема: в них используется стандартный пароль для передачи СМС-команд, а также отсутствует функция его принудительной смены при первом включении.

Если злоумышленник будет знать номер телефона установленной в часах SIM-карты и использует известный пароль, то он сможет заполучить контроль над устройством и доступ ко всем данным, которые собирает гаджет. Например, мошенник получит доступ к информации о местоположении ребенка. Если он видит, что ребенок вне зоны доступа, то может отправить с незнакомого номера СМС родителям о том, что тот попал в беду и срочно нужны деньги, пояснил директор центра Solar appScreener «Ростелеком-Солар» Даниил Чернов.

«Доктор Веб» уведомила производителей об уязвимостях. При этом директор по продуктам Elari Антон Бадаев заявил, что компания не предоставила методологию исследования. По его словам, заявления, которые сделали киберэксперты, не соответствуют действительности. На часах отсутствует браузер, то есть ребенок не может выйти в интернет, не получает рекламы и не может установить какое-либо приложение, которое подается как вредоносное ПО. Сторонние разработчики тоже не могут ничего на них установить. Серверы, расположенные за пределами России, нужны для определения более точной геолокации и не используют персональные данные пользователей.

Эксперт по кибербезопасности из «Лаборатории Касперского» Виктор Чебышев считает, что мошенники вряд ли заинтересованы в том, чтобы перехватывать данные с «умных» часов, зачастую их целью является получение финансовой выгоды. При этом они могут объединять такие смарт-часы в бот-сеть, которая будет отправлять и принимать СМС или «накручивать» клики. Получается, что устройство само сможет «ходить» по web-страницам по команде от управляющего центра, а каждый клик станет приносить владельцу бот-сети деньги. Такой функционал сейчас востребован на черном рынке.

Чтобы выйти на рынок «умных» часов, достаточно просто купить готовое аппаратное обеспечение и заказать разработку софта, пояснил Даниил Чернов. По его словам, если учитывать, что основной инструмент конкуренции брендов без мирового имени — низкая стоимость устройств, то производители не вкладывают средства в безопасность, тем самым сокращая издержки.

По данным «М.Видео-Эльдорадо», средний чек на покупку детских «умных» часов составляет порядка 3-х тысяч рублей. В этом году их продажи увеличились на 40% в количественном выражении и на 42% в денежном.

За первые 9 месяцев текущего года совокупные продажи носимых устройств (смарт-часов и фитнес-трекеров) в нашей стране достигли почти 4-х миллионов штук, что в деньгах составляет 35 миллиардов рублей. Руководитель отдела закупок цифровой техники «Ситилинк» Николай Петров подчеркнул, что детские смарт-часы пользуются популярностью, так ка кони помогают родителям быть уверенными в безопасности своего ребенка.

Ранее эксперты заявили, что необходимую безопасность персональных данных бюджетные «умные» часы никогда не смогут обеспечить. По их словам, в дешевых смарт-часах не всегда есть передача данных через зашифрованный протокол, а это может обернуться кражей персональных данных.