На конференции Security B-Sides MSP 2016 (Сан-Франциско) Майкл Рэйг, специалист в области информационной безопасности компании MobileIron, рассказал, что обнаружил дешевые смарт-часы, которые уличил в скрытой коммуникации без ведома пользователя. Рэйг привел несколько конкретных примеров, как мобильные приложения, которые используются для работы с современной носимой электроники, могут раскрывать персональные данные своего владельца, сообщает news.softpedia.com.Была проведена серия тестов самых популярных современных смарт-часов на обнаружение подозрительной сетевой активности. Майкл проанализировал четыре модели смарт-часов: Samsung Tizen, Apple WatchOS, Android Wear (Moto 360) и U8 Nucleus.
Никогда не доверяй «дешевизне»
И вот наш победитель: U8 Nucleus — недорогие смарт-часы, сделанные в Китае (цена около $17), с собственной операционной системой Nucleus.
С самого начала Рэйг понял, что что-то не так, потому что вместо того, чтобы зайти на сайт и скачать приложение для синхронизации с телефоном, он получил листок бумаги, на котором был записан IP-адрес. Далее, он скачал одно из приложений, что позволило управлять часами со смартфона. После установки ПО долго ждать не пришлось: «При синхронизации часов с устройством под управлением Android, [...] они начали передавать данные на неизвестный IP-адрес в Китае», рассказал Рэйг.
Трафик при этом шифруется, поэтому никто не знает, что он содержит. Исследователь говорит, что все движение данных происходило по зашифрованному каналу, так что он не может сказать, что именно передает мобильное приложение. Теоретически, это могут быть простые телеметрические данные смарт-часов, но в худшем случае, это может быть и список контактов телефона, и другие персональные данные пользователя.
«С точки зрения корпоративного шпионажа, эксфильтрации данных и рисков, есть определенно много интересного и подозрительного в поведении часов», добавил исследователь.
Ниже приводится выступление Майкла Рэйга на конференции. Часть о U8 SmartWatch с 13:30.
