
Была проведена серия тестов самых популярных современных смарт-часов на обнаружение подозрительной сетевой активности. Майкл проанализировал четыре модели смарт-часов: Samsung Tizen, Apple WatchOS, Android Wear (Moto 360) и U8 Nucleus.
Никогда не доверяй «дешевизне»
И вот наш победитель: U8 Nucleus — недорогие смарт-часы, сделанные в Китае (цена около $17), с собственной операционной системой Nucleus.
С самого начала Рэйг понял, что что-то не так, потому что вместо того, чтобы зайти на сайт и скачать приложение для синхронизации с телефоном, он получил листок бумаги, на котором был записан IP-адрес. Далее, он скачал одно из приложений, что позволило управлять часами со смартфона. После установки ПО долго ждать не пришлось: «При синхронизации часов с устройством под управлением Android, [...] они начали передавать данные на неизвестный IP-адрес в Китае», рассказал Рэйг.
Трафик при этом шифруется, поэтому никто не знает, что он содержит. Исследователь говорит, что все движение данных происходило по зашифрованному каналу, так что он не может сказать, что именно передает мобильное приложение. Теоретически, это могут быть простые телеметрические данные смарт-часов, но в худшем случае, это может быть и список контактов телефона, и другие персональные данные пользователя.
«С точки зрения корпоративного шпионажа, эксфильтрации данных и рисков, есть определенно много интересного и подозрительного в поведении часов», добавил исследователь.
Ниже приводится выступление Майкла Рэйга на конференции. Часть о U8 SmartWatch с 13:30.