Уже несколько лет исследователи AV-TEST изучают безопасность умных часов для детей. На этот раз эксперты проверили бюджетный гаджет SMA-WATCH-M2, созданный китайской компанией SMA и пришли к выводу, что защита часов оставляет желать лучшего. Часы стоимостью 35 долларов раскрывают личные данные и информацию о местонахождении более 5000 детей и их родителей.
Исследователи рассказывают, что SMA-WATCH-M2 созданы для работе в паре с соответствующим приложением. Так, родители регистрируют учетную запись, подключают умные часы ребенка к своему телефону и используют приложение для отслеживания его местоположения, совершения голосовых вызовов или получения уведомлений, когда ребенок покидает определенную область. На рынке множество подобных гаджетов, чья стоимость варьируется от 30 до 300 долларов, но эксперты пишут, что SMA создала один из наиболее небезопасных продуктов в этой области.
Так, выяснилось, что любой желающий может запросить бэкэнд умных часов через общедоступный API. Это тот же бэкэнд, к которому подключается мобильное приложение для извлечения данных, которые отображаются на телефонах родителей. Хотя, казалось бы, для этих операций существует токен аутентификации, который якобы должен предотвращать несанкционированный доступ, на деле злоумышленники могут предоставить любой токен, так как сервер попросту не проверяет его действительность.
В итоге злоумышленник может подключиться к API, изучить идентификаторы пользователей и собрать данные о детях и их родителях. Так, можно узнать текущее географическое местоположение ребенка, тип устройства и IMEI SIM-карты. Таким способом аналитикам AV-TEST удалось выявить более 5000 обладателей умных часов и более 10 000 учетных записей родителей. Большинство детей находились в Европе, в таких странах, как Нидерланды, Польша, Турция, Германия, Испания и Бельгия, но также активные умные часы нашлись в Китае, Гонконге и Мексике.
Мобильное приложение, установленное на телефонах родителей, также оказалось крайне небезопасно. Дело в том, что атакующий может установить приложение на собственное устройство, изменить идентификатор пользователя в файле конфигурации и связать свой смартфон с умными часами чужого ребенка, даже не вводя адрес электронной почты или пароль от родительского аккаунта. Затем функции приложения можно использовать, чтобы отслеживать ребенка с помощью карты, совершать звонки и начинать голосовые чаты с детьми.
Хуже того, злоумышленник может изменить пароль от учетной записи и заблокировать приложение настоящих родителей, пока сам общается с ребенком.
Исследователи пишут, что они связались с представителями SMA и сообщили компании о проблемах. При этом неясно, как отреагировали в SMA, зато в отчете специалистов упомянуто, что часы все еще продаются через сайт компании и других дистрибьюторов. Впрочем, некоторые дистрибьюторы уже прекратили продажу SMA-WATCH-M2 после публикации отчета экспертов.