Была проведена серия тестов самых популярных современных смарт-часов на обнаружение подозрительной сетевой активности. Майкл проанализировал четыре модели смарт-часов: Samsung Tizen, Apple WatchOS, Android Wear (Moto 360) и U8 Nucleus.
Никогда не доверяй «дешевизне»
И вот наш победитель: U8 Nucleus — недорогие смарт-часы, сделанные в Китае (цена около $17), с собственной операционной системой Nucleus.
С самого начала Рэйг понял, что что-то не так, потому что вместо того, чтобы зайти на сайт и скачать приложение для синхронизации с телефоном, он получил листок бумаги, на котором был записан IP-адрес. Далее, он скачал одно из приложений, что позволило управлять часами со смартфона. После установки ПО долго ждать не пришлось: «При синхронизации часов с устройством под управлением Android, [...] они начали передавать данные на неизвестный IP-адрес в Китае», рассказал Рэйг.
Трафик при этом шифруется, поэтому никто не знает, что он содержит. Исследователь говорит, что все движение данных происходило по зашифрованному каналу, так что он не может сказать, что именно передает мобильное приложение. Теоретически, это могут быть простые телеметрические данные смарт-часов, но в худшем случае, это может быть и список контактов телефона, и другие персональные данные пользователя.
«С точки зрения корпоративного шпионажа, эксфильтрации данных и рисков, есть определенно много интересного и подозрительного в поведении часов», добавил исследователь.
Ниже приводится выступление Майкла Рэйга на конференции. Часть о U8 SmartWatch с 13:30.
Комментарии (10)
Shadow_Runner
04.03.2016 16:12+1Как то и впрямь в итоге новость своится к «Китайские смарт-часы умеют передавать шифрованные данные». Хоть бы какие-то данные о объеме передаваемого трафика.
Soul_in_Gun
04.03.2016 18:44при том что у u8 нет ничего кроме bt, да и часами назвать сложно — технически это гарнитура с дисплеем. Серьёзно, A2DP устройство. Как владелец одного из клонов этих часов заявляю.
Так что "я скачал приложение с IP и оно что-то странное делает" есть заголовок данной статьи
spc
04.03.2016 17:31+1Собственно часы вряд ли что-то передают (т.е. даже если бы могли — не ставь в них SIM, предположим, и все). Тут, скорее, речь о китайском софте для смартфона. А то, что какой-то софт может что-то куда-то передавать — это, разумеется, давно уже не секрет. Просто в данном случае так звезды легли, что данные куда-то отдает именно тот софт, который поставляется вместе с часами.
А уж дешевые они или дорогие, это разве что из разряда социнженерии, когда в окрестностях объекта атаки разбрасывают флешки со зловредами в надежде, что планктон подберет и подключит куда ни попадя. В этом случае доступность, конечно, играет роль.
p.s. до кучи: на Aliexpress их уже, кажется, давно по $8 раздают.DSL88
04.03.2016 18:31только зашел специально проверить сколько они стоят… Что-то совсем не 8 долларов
spc
04.03.2016 20:30Если честно, то готов поклясться, что видел их там за что-то около 8 долларов. Но раз нет — тогда наш выбор Ebay.
hdfan2
05.03.2016 15:07Дорого слишком. Вот почти вообще задаром: http://www.ebay.com/itm/Bluetooth-Smart-Watch-DZ09-SIM-Card-For-Android-Phone-Samsung-LG-SONY/182033228282. Но меня что-то терзают смутные сомнения…
tmin10
06.03.2016 13:03Всего 4 продано, но рейтинг продавца вроде не плохой. Но за такую цену часы с GSM модулем, камерой, 1.5" экраном и блютуз выглядят очень подозрительно. Такие дешевле 2000 рублей стоить просто не могут.
P.S. Выбрал цвет и цена сразу увеличилась. Хотя всё равно 1355 рублей довольно недорого.hdfan2
06.03.2016 14:14Мда, и верно. Совсем непонятно. 313 рублей получается, если выбрать пункт «Wrist watch». Возможно, это один браслет? По ссылке в сообщении, на которон я отвечал, та же фигня. Ну а так 19 долларов — это уже куда ближе к истине (везде их продают по 20-22).
amarao
После установки любого гуглового приложения будет передача шифрованных данных на неизвестный американский ip-адрес.
После установки любого эпплового приложения будет передача шифрованных данных на неизвестный американский ардрес.
И?