image На конференции Security B-Sides MSP 2016 (Сан-Франциско) Майкл Рэйг, специалист в области информационной безопасности компании MobileIron, рассказал, что обнаружил дешевые смарт-часы, которые уличил в скрытой коммуникации без ведома пользователя. Рэйг привел несколько конкретных примеров, как мобильные приложения, которые используются для работы с современной носимой электроники, могут раскрывать персональные данные своего владельца, сообщает news.softpedia.com.


Была проведена серия тестов самых популярных современных смарт-часов на обнаружение подозрительной сетевой активности. Майкл проанализировал четыре модели смарт-часов: Samsung Tizen, Apple WatchOS, Android Wear (Moto 360) и U8 Nucleus.

Никогда не доверяй «дешевизне»


И вот наш победитель: U8 Nucleus — недорогие смарт-часы, сделанные в Китае (цена около $17), с собственной операционной системой Nucleus.

С самого начала Рэйг понял, что что-то не так, потому что вместо того, чтобы зайти на сайт и скачать приложение для синхронизации с телефоном, он получил листок бумаги, на котором был записан IP-адрес. Далее, он скачал одно из приложений, что позволило управлять часами со смартфона. После установки ПО долго ждать не пришлось: «При синхронизации часов с устройством под управлением Android, [...] они начали передавать данные на неизвестный IP-адрес в Китае», рассказал Рэйг.

Трафик при этом шифруется, поэтому никто не знает, что он содержит. Исследователь говорит, что все движение данных происходило по зашифрованному каналу, так что он не может сказать, что именно передает мобильное приложение. Теоретически, это могут быть простые телеметрические данные смарт-часов, но в худшем случае, это может быть и список контактов телефона, и другие персональные данные пользователя.

«С точки зрения корпоративного шпионажа, эксфильтрации данных и рисков, есть определенно много интересного и подозрительного в поведении часов», добавил исследователь.

Ниже приводится выступление Майкла Рэйга на конференции. Часть о U8 SmartWatch с 13:30.

Комментарии (10)


  1. amarao
    04.03.2016 15:35
    +5

    После установки любого гуглового приложения будет передача шифрованных данных на неизвестный американский ip-адрес.
    После установки любого эпплового приложения будет передача шифрованных данных на неизвестный американский ардрес.

    И?


  1. Shadow_Runner
    04.03.2016 16:12
    +1

    Как то и впрямь в итоге новость своится к «Китайские смарт-часы умеют передавать шифрованные данные». Хоть бы какие-то данные о объеме передаваемого трафика.


    1. Soul_in_Gun
      04.03.2016 18:44

      при том что у u8 нет ничего кроме bt, да и часами назвать сложно — технически это гарнитура с дисплеем. Серьёзно, A2DP устройство. Как владелец одного из клонов этих часов заявляю.
      Так что "я скачал приложение с IP и оно что-то странное делает" есть заголовок данной статьи


  1. spc
    04.03.2016 17:31
    +1

    Собственно часы вряд ли что-то передают (т.е. даже если бы могли — не ставь в них SIM, предположим, и все). Тут, скорее, речь о китайском софте для смартфона. А то, что какой-то софт может что-то куда-то передавать — это, разумеется, давно уже не секрет. Просто в данном случае так звезды легли, что данные куда-то отдает именно тот софт, который поставляется вместе с часами.

    А уж дешевые они или дорогие, это разве что из разряда социнженерии, когда в окрестностях объекта атаки разбрасывают флешки со зловредами в надежде, что планктон подберет и подключит куда ни попадя. В этом случае доступность, конечно, играет роль.


    p.s. до кучи: на Aliexpress их уже, кажется, давно по $8 раздают.


    1. DSL88
      04.03.2016 18:31

      только зашел специально проверить сколько они стоят… Что-то совсем не 8 долларов


      1. spc
        04.03.2016 20:30

        Если честно, то готов поклясться, что видел их там за что-то около 8 долларов. Но раз нет — тогда наш выбор Ebay.


        1. hdfan2
          05.03.2016 15:07

          Дорого слишком. Вот почти вообще задаром: http://www.ebay.com/itm/Bluetooth-Smart-Watch-DZ09-SIM-Card-For-Android-Phone-Samsung-LG-SONY/182033228282. Но меня что-то терзают смутные сомнения…


          1. tmin10
            06.03.2016 13:03

            Всего 4 продано, но рейтинг продавца вроде не плохой. Но за такую цену часы с GSM модулем, камерой, 1.5" экраном и блютуз выглядят очень подозрительно. Такие дешевле 2000 рублей стоить просто не могут.


            P.S. Выбрал цвет и цена сразу увеличилась. Хотя всё равно 1355 рублей довольно недорого.


            1. hdfan2
              06.03.2016 14:14

              Мда, и верно. Совсем непонятно. 313 рублей получается, если выбрать пункт «Wrist watch». Возможно, это один браслет? По ссылке в сообщении, на которон я отвечал, та же фигня. Ну а так 19 долларов — это уже куда ближе к истине (везде их продают по 20-22).


      1. gregox
        14.03.2016 16:58

        Я свои брал за $7.85 в январе на Ebay.