Хакеры работают как часы

В детских смарт-трекерах нашли опасные уязвимости

С помощью смарт-часов за местонахождением ребенка могут следить не только его родители, но и злоумышленники, выяснили в «Докторе Вебе». Компания обнаружила троян в прошивке популярных моделей Elari, а также выяснила, что многие смарт-часы по умолчанию используют стандартный пароль для передачи команд по СМС. Мошенники могут объединить такие часы в чат-боты или использовать для шпионажа и шантажа родителей, считают эксперты. Сами разработчики часов утверждают, что никаких рисков для пользователей их продукция не несет.

Фото: Анатолий Жданов, Коммерсантъ

Фото: Анатолий Жданов, Коммерсантъ

Безопасность детских смарт-часов, которые продаются в России, находится на весьма неудовлетворительном уровне, рассказали “Ъ” в компании «Доктор Веб». Например, смарт-часы Elari Kidphone 4G передают данные о местоположении ребенка на собственный сервер, расположенный за пределами России, пояснили в компании. Также, уточнили там, в них скрыт троян, который может использоваться для кибершпионажа, показа рекламы и установки ненужных и даже опасных программ. По данным группы «М.Видео-Эльдорадо», часы Kidphone 4G входят в тройку самых популярных моделей в 2021 году.

Прошивки для смарт-часов под управлением операционной системы Android часто создаются сторонними фирмами, и велика вероятность, что на одном из этапов производства злоумышленники могут внедрять в них троянское или рекламное ПО, объясняют в «Докторе Вебе».

Кроме того, в прошивках многих часов, в том числе российских Wokka Lokka, есть другая проблема: в них используется стандартный пароль для передачи СМС-команд и отсутствует функция его принудительной смены при первом включении.

Зная номер телефона установленной в часах сим-карты и используя известный пароль, потенциальный злоумышленник сможет получить контроль над устройством и доступ ко всей информации, которую собирают часы, объясняют в компании: «Например, он сможет получить доступ к данным о местоположении ребенка». Если злоумышленник видит, что ребенок вне зоны доступа, то может отправить с незнакомого номера СМС родителям о том, что он попал в беду и срочно нужны деньги, говорит директор центра Solar appScreener «Ростелеком-Солар» Даниил Чернов. «Доктор Веб» уведомила об уязвимостях производителей.

Директор по продуктам Elari Антон Бадаев подтвердил “Ъ”, что обращение получено, но компания не предоставила методологию исследования. Он утверждает, что заявления «Доктора Веба» не соответствуют действительности.

«На часах нет браузера, таким образом, ребенок не может выйти в интернет, не получает рекламы и не может установить никакое приложение, которое подается как вирус. Сторонние разработчики также не могут ничего на них установить»,— пояснил господин Бадаев.

Серверы за пределами страны нужны для определения более точной геопозиции и не используют персональные данные, утверждает он.

Злоумышленники вряд ли заинтересованы в перехвате данных с часов, обычно их цель — получение финансовой выгоды, отмечает эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев. Однако, по его словам, они могут объединять такие часы в бот-сеть, которая будет отправлять и принимать СМС или «накручивать» клики: «То есть устройство само будет "ходить" по веб-страницам по команде от управляющего центра, и каждый клик будет приносить определенную сумму владельцу бот-сети». Такой функционал, говорит господин Чебышев, востребован на черном рынке.

Чтобы выйти на рынок смарт-часов, достаточно приобрести готовое аппаратное обеспечение и заказать разработку ПО, говорит Даниил Чернов. Учитывая, что основной инструмент конкуренции брендов без мирового имени — низкая стоимость гаджета, производители не вкладывают средства в безопасность, сокращая тем самым издержки, полагает он.

По данным «М.Видео-Эльдорадо», средний чек детских смарт-часов составляет порядка 3 тыс. руб. В этом году их продажи выросли на 40% в количественном выражении и на 42% в денежном.

Всего за девять месяцев совокупные продажи носимых устройств (смарт-часов и фитнес-трекеров) в России достигли порядка 4 млн штук и 35 млрд руб. Руководитель отдела закупок цифровой техники «Ситилинк» Николай Петров отмечает, что детские смарт-часы пользуются особой популярностью, поскольку помогают родителям быть уверенными в безопасности ребенка.

Юлия Степанова

Картина дня

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...