Хакер #305. Многошаговые SQL-инъекции
Эксперты норвежской компании Mnemonic уверены, что обнаружили бэкдор, специально внедренный в детские умные часы Xplora 4, созданные китайской компанией Qihoo 360 Technology Co. Как оказалось, часы могут делать фото и записывать звук, причем эти функции активируются при помощи зашифрованного SMS-сообщения.
По данным производителя, в настоящее время было продано более 350 000 таких Android-устройств, которые позволяют совершать и принимать голосовые вызовы на одобренные родителями номера, а также отправлять тревожный сигнал и данные о метаположении заданным контактам. Отдельное приложение, работающее на смартфонах родителей, позволяет контролировать использование часов и получать предупреждения, если ребенок выходит за пределы определенной географической зоны.
Хотя в Европе и США часы распространяет компания Xplora Mobile AS, аппаратное обеспечение разработано и произведено упомянутой китайской компанией Qihoo 360, а она же ответственна за создание 19 из 90 предустановленных Android-приложений для этих устройств.
«Сам по себе бэкдор уязвимостью не является, — пишут исследователи. — Это набор умышленно разработанных функций с соответствующими именами, которые позволяют удаленно сделать снапшот, сообщить местоположение и организовать прослушку. Бэкдор активируется путем отправки SMS-команд на часы», — рассказывают в Mnemonic.
Исследователи полагают, что умные часы могут использоваться для скрытой съемки фото с помощью встроенной камеры, для отслеживания местоположения владельца, а также для прослушивания телефонных разговоров через встроенный микрофон. Упомянутые «говорящие» имена функций, это WIRETAP_INCOMING, WIRETAP_BY_CALL_BACK, COMMAND_LOG_UPLOAD, REMOTE_SNAPSHOT и SEND_SMS_LOCATION.
Эксперты не утверждают, что такое наблюдение действительно имело место. Дело в том, что для успешной атаки необходимо знать не только номер телефона устройства (в часах есть SIM-карта), но и уникальный ключ шифрования. При этом подчеркивается, что эти данные доступны разработчикам Qihoo 360 и Xplora, а также их можно физически извлечь с устройств при помощи специальных инструментов.
Опасения исследователей, в частности, связаны с тем, что ранее Qihoo 360 была внесена в санкционный список Министерства торговли США. Американские власти считают, что правительство Китая могло вынудить компанию заниматься «деятельностью, противоречащей интересам национальной безопасности или внешней политики США». То есть, теоретически, активировать скрытые в часах бэкдоры могут потребовать китайские власти.
Журналисты The Register цитируют комментарий представителей Xplora, которые уверяют, что данная проблема была связана с забытыми в коде остатками прототипа. Якобы во время разработки устройства родители говорили о том, что хотели бы иметь возможность связываться со своими детьми в чрезвычайной ситуации, а также иметь возможность получать данные о местоположении в случае похищения. Позже эту функциональность решили не реализовывать в коммерческой версии устройств по соображениям конфиденциальности.
Также в Xplora подчеркнули, что настоящее время проблема уже исправлена: в конце прошлой недели для часов был выпущен соответствующий патч.
«Важно отметить, что потенциальная уязвимость требует физического доступа к часам X4 и [знания] номера телефона, — комментирует представитель Xplora. — Даже если эта функциональность будет активирована, единственное место, где будут находиться данные — это серверы Xplora в Германии, расположенные в высокозащищенной среде Amazon Web Services, недоступной для третьих лиц. Только два сотрудника Xplora имеют доступ к защищенной БД, где хранится информация о клиентах, и доступ к этой базе данных тщательно отслеживается и регистрируется».