«Доктор Веб» обнаружил уязвимости в детских смарт-часах

Родители всегда стремятся позаботиться о своих детях. Благодаря развитию технологий все чаще в этом им помогают различные компактные носимые устройства — смарт-часы и GPS-трекеры. Все больше моделей таких устройств по функциональности приближаются к полноценным смартфонам. Многие из них позволяют отслеживать местоположение ребенка и маршрут его передвижения через спутниковую систему навигации, совершать и принимать телефонные звонки (в том числе по видеосвязи), получать СМС, голосовую почту, по команде делать фотографии через встроенную камеру и даже прослушать окружение, а также имеют возможность дистанционного управления. Компания «Доктор Веб» проанализировала потенциальные угрозы, которые таит в себе использование подобных гаджетов.

Собираемые в процессе работы этих устройств данные обычно передаются на серверы производителей и доступны родителям через персональные учетные записи. При этом информация, которую можно получить с помощью «умных» часов, является очень чувствительной. Если она попадет в руки злоумышленников, детям может угрожать серьезная опасность.

Чтобы понять, насколько уязвимы детские смарт-часы и каковы потенциальные риски их использования, специалисты компании «Доктор Веб» исследовали несколько популярных моделей: Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite, Smart Baby Watch Q19. Выбор моделей основывался на публичных рейтингах популярности смарт-часов в России, при этом целенаправленно выбирались устройства разной ценовой категории. Все смарт-часы были приобретены в крупном российском онлайн-магазине анонимно.

При исследовании выполнялся как статический, так и динамический анализ: поиск потенциальных закладок в ПО и возможного присутствия недокументированных функций, а также проверка передаваемых в интернет данных и их защищенность.

Смарт-часы Elari Kidphone 4G

Существует несколько версий часов Elari Kidphone 4G, которые построены на базе различных аппаратных платформ. При этом все они работают под управлением ОС Android, и их прошивки отличаются незначительно.

Анализ показал, что управляющий сервер, куда часы передают собираемые данные, расположен за пределами России, что может представлять потенциальную опасность. Однако главная угроза этой модели исходит от установленного на ней ПО. В прошивку часов встроено приложение для автоматического обновления «по воздуху» — и оно содержит троянские функции.

Во-первых, оно передает данные о местоположении ребенка на собственный сервер. Во-вторых, внутри него скрыт вредоносный код, детектируемый Dr.Web как Android.DownLoader.3894. При каждом включении часов или изменении сетевого подключения этот код запускает два вредоносных модуля — Android.DownLoader.812.origin и Android.DownLoader.1049.origin. Они связываются с управляющим сервером для передачи на него различной информации, а также получения команд. По умолчанию эти модули подключаются к серверу каждые 8 часов. Таким образом, первое соединение они устанавливают с большой временной задержкой с момента первого включения устройства.

Модуль Android.DownLoader.812.origin отправляет на сервер информацию о номере телефона пользователя, данные геолокации, а также сведения о SIM-карте и самом устройстве. В ответ он может получить команды на изменение частоты запросов на соединение с сервером, обновление самого модуля, загрузку, установку, запуск и удаление приложений, а также загрузку заданных веб-страниц.

Модуль Android.DownLoader.1049.origin передает на другой сервер информацию о SIM-карте и номере телефона, данные о местоположении, большой объем информации об устройстве и установленных на нем приложениях, а также о количестве СМС, телефонных звонков и контактов в адресной книге.
Таким образом, скрытый в этих часах троян Android.DownLoader.3894 может использоваться для кибершпионажа, показа рекламы и установки ненужных и даже опасных программ.

Смарт-часы Wokka Lokka Q50

Анализ сетевой активности этой модели не выявил каких-либо подозрительных действий. Данные о местоположении ребенка, которые собираются в процессе работы часов, по умолчанию передаются на расположенный в России сервер. При этом отправка чувствительной информации на сторонние серверы не наблюдалась.

Потенциальную опасность для пользователей Wokka Lokka Q50 может представлять то, что передача данных геолокации на сервер происходит в открытом виде, без шифрования. Теоретически злоумышленники могут перехватить незащищенные данные, выполнив атаку типа «человек посередине». Однако поскольку отправка информации происходит через мобильную сеть оператора, вероятность подобной атаки не так велика.

Официально часы контролируются при помощи мобильного приложения, которое устанавливается на устройства родителей. Однако моделью Wokka Lokka Q50 можно также управлять при помощи специальных СМС-команд. При этом в инструкции сведения о такой возможности отсутствуют. Сама же реализация СМС-управления несет в себе определенные риски.

Главной уязвимостью Wokka Lokka Q50 здесь является использование стандартного для всех устройств линейки пароля 123456 для передачи СМС-команд (в некоторых версиях часов используется пароль 523681). При этом в часах отсутствует функция его принудительной смены при первом включении. Нет рекомендации о его замене и в комплектной инструкции, сменить его через управляющее приложение тоже нельзя.

Единственная информация о возможности и способе изменения стандартного пароля имеется в онлайн-справке на официальном сайте бренда. Однако далеко не каждый пользователь целенаправленно посещает официальные сайты приобретаемой электроники в поисках дополнительной информации. Поэтому значительная доля покупателей данных часов не только не будет знать, что гаджетом можно управлять через СМС, но и будет использовать устройства со стандартным паролем, не подозревая, что его можно и нужно сменить. В этом заключается серьезная угроза.

Так, зная номер телефона установленной в часы SIM-карты и используя известный пароль, потенциальный злоумышленник сможет без труда получить контроль над устройством. Например, запросить координаты GPS, которые поступят в ответном СМС, дистанционно прослушать окружение через обратный звонок на указанный в команде номер и даже изменить адрес управляющего сервера на собственный, получая доступ ко всей информации, которую собирают эти часы.
При этом, даже если стандартный пароль будет изменен, это не решит проблему полностью. Для атакующего многие команды после смены пароля станут недоступны. Однако команда для проверки параметров часов по-прежнему будет исполняться без ограничений, и вызвать ее будет возможно с любого номера. Поэтому, если злоумышленник задействует эту команду, часы среди прочих сведений об устройстве сообщат ему и текущий номер администратора. Узнав его, атакующий при помощи СМС-спуфинга (подмены номера) сможет от имени администратора (т. е. родителей) задать новый пароль и получить полный контроль над устройством.

Смарт-часы Elari FixiTime Lite

При анализе сетевой активности часов Elari FixiTime Lite не было выявлено каких-либо подозрительных действий. Однако управляющий сервер, на который пересылаются собираемые данные, находится за пределами России. Кроме того, информация о GPS-координатах передается на сервер по протоколу MQTT в незашифрованном виде, как и в случае с часами Wokka Lokka Q50. Также через незащищенный протокол HTTP передаются и фотографии с голосовыми сообщениями. В случае успешной атаки «человек посередине» злоумышленники смогут перехватить эти данные.

Потенциальную опасность в этих смарт-часах представляет и то, что пароль для подключения к протоколу MQTT для передачи данных телеметрии жестко прописан в прошивке устройства. Если злоумышленнику будет известен IMEI часов и этот пароль, он сможет подключиться к серверу и «притвориться» атакованным устройством, передавая поддельные данные.

Смарт-часы Smart Baby Watch Q19

Анализ часов не выявил подозрительной активности, а также наличия управляющих команд, использование которых могло бы привести к утечке конфиденциальной информации. Собираемые часами данные передаются на управляющий сервер в зашифрованном виде, поэтому для злоумышленников получить к ним доступ будет непросто. Потенциальную угрозу, однако, представляет то, что этот сервер находится не на территории России. Кроме того, для отправки управляющих команд по СМС в них также используется стандартный пароль 123456. Однако в данной модели часов список доступных команд значительно сокращен.

Выводы

Проведенный анализ показал, что в целом безопасность детских смарт-часов находится на весьма неудовлетворительном уровне. Наше исследование затронуло несколько моделей, однако проблема этих устройств заключается в том, что на разных моделях могут использоваться схожие прошивки и ПО. Например, прошивки, аналогичные той, что установлены в часах Wokka Lokka Q50, применяются в большом количестве других моделей смарт-часов различных брендов, а также во всевозможных GPS-трекерах. Кроме того, для них также задан стандартный пароль управления через СМС. Следовательно, их пользователи подвержены тем же рискам, что и владельцы часов Wokka Lokka Q50. При этом на рынке постоянно появляются новые модели, и нет гарантии, что и в них не будет каких-либо уязвимостей.

Кроме того, обнаружение предустановленного на смарт-часы Elari Kidphone 4G трояна наглядно демонстрирует, какая опасность может скрываться в устройствах такого типа, работающих под управлением ОС Android. Прошивки для них часто создаются сторонними фирмами, и производители редко проверяют их безопасность и целостность. Следовательно, велика вероятность того, что на одном из этапов производства Android-часов злоумышленники внедрят в них троянское или рекламное ПО.

Основные уязвимости исследованных смарт-часов представлены в сводной таблице: