Смарт-часы для детей Xplora 4, произведённые китайской компанией Qihoo 360 Technology, могут делать фотографии и записывать разговор по телефону. Запись можно активировать с помощью SMS-сообщения, сообщает норвежская компания по кибербезопасности Mnemonic.
Специалисты Mnemonic Харрисон Сэнд и Эрленд Лейкнес настаивают, что этот бэкдор — не ошибка, а скрытая функция, добавленная в устройство преднамеренно. Исследователи заявили что смарт-часы могут делать фото с помощью встроенной камеры, отслеживать местоположение пользователя, а также прослушивать и записывать телефонные разговоры через встроенный микрофон. Для использования данного бэкдора необходимо знать номер телефона целевого устройства и его ключ шифрования. В Mnemonic не обнаружили доказательств того, что бэкдор когда-либо использовался.
По данным Xplora, на данный момент продано около 350 тысяч часов. Компания Xplora указывает, что обнаруженная проблема безопасности — это код из прототипа, который не использовался в конечном продукте. Когда разрабатывались смарт-часы, компания получала сообщения от родителей, которые хотели бы иметь возможность получать фото при помощи часов в случае похищения и иметь возможность записывать звук. Xplora включила некоторые функции в прототип устройства, но решила не реализовывать их в коммерческой версии из соображений конфиденциальности. Компания заявляет, что уже выпустила патч для прошивки.
«Xplora очень серьёзно относится к конфиденциальности и любым уязвимостям безопасности, — говорится в комментарии компании для издания The Register. — После того, как мы получили уведомление, мы разработали патч для Xplora 4, который устранит эту потенциальную проблему. Важно отметить, что данная уязвимость требует физического доступа к часам X4 и номеру телефона владельца. Даже если уязвимость будет использована, фото будет размещено только на сервере Xplora в высокозащищенной среде Amazon Web Services, недоступной для третьих лиц».
Пресс-секретарь Xplora сообщил, что компания провела аудит после того, как получила информацию об исследованиях Mnemonic, и не нашла доказательств использования уязвимости.
Ранее смарт-часы компании привлекали внимание специалистов по информационной безопасности компаний Mnemonic и Norwegian Consumer Council. Санд и Лейкнес также указали, что в июне Министерство торговли США включило Qihoo 360 в список организаций, которые не имеют права работать с американскими компаниями. Власти США заявляют, что компания может представлять потенциальную угрозу национальной безопасности США.
В 2012 году Qihoo 360 обвинялась в наличии бэкдора в браузере 360.
Tetrakronos
Как же достала эта китайская шушарня! Твиттеры, ютубы, гуглы они блокируют видите ли из-за соображений нацбезопасности, а своими тиктоками развращают молодеж и без того в большинстве своем тупую и безграмотную, что ни продукт — то бэкдор, то данные непонятные собирают и считают это нормально.
Пора уже Китаю объявить бойкот и все их приложения и продукты при ввозе на иностранные рынки разбирать до винтика.А приложения запускать на рынок другого государства, только когда они предоставят все исходные коды.
Достали уже эти сыновья поднебесной ей богу.
anonymous
fantlab.ru/work5229