Смарт-часы для детей Xplora 4, произведённые китайской компанией Qihoo 360 Technology, могут делать фотографии и записывать разговор по телефону. Запись можно активировать с помощью SMS-сообщения, сообщает норвежская компания по кибербезопасности Mnemonic.
Специалисты Mnemonic Харрисон Сэнд и Эрленд Лейкнес настаивают, что этот бэкдор — не ошибка, а скрытая функция, добавленная в устройство преднамеренно. Исследователи заявили что смарт-часы могут делать фото с помощью встроенной камеры, отслеживать местоположение пользователя, а также прослушивать и записывать телефонные разговоры через встроенный микрофон. Для использования данного бэкдора необходимо знать номер телефона целевого устройства и его ключ шифрования. В Mnemonic не обнаружили доказательств того, что бэкдор когда-либо использовался.
По данным Xplora, на данный момент продано около 350 тысяч часов. Компания Xplora указывает, что обнаруженная проблема безопасности — это код из прототипа, который не использовался в конечном продукте. Когда разрабатывались смарт-часы, компания получала сообщения от родителей, которые хотели бы иметь возможность получать фото при помощи часов в случае похищения и иметь возможность записывать звук. Xplora включила некоторые функции в прототип устройства, но решила не реализовывать их в коммерческой версии из соображений конфиденциальности. Компания заявляет, что уже выпустила патч для прошивки.
«Xplora очень серьёзно относится к конфиденциальности и любым уязвимостям безопасности, — говорится в комментарии компании для издания The Register. — После того, как мы получили уведомление, мы разработали патч для Xplora 4, который устранит эту потенциальную проблему. Важно отметить, что данная уязвимость требует физического доступа к часам X4 и номеру телефона владельца. Даже если уязвимость будет использована, фото будет размещено только на сервере Xplora в высокозащищенной среде Amazon Web Services, недоступной для третьих лиц».
Пресс-секретарь Xplora сообщил, что компания провела аудит после того, как получила информацию об исследованиях Mnemonic, и не нашла доказательств использования уязвимости.
Ранее смарт-часы компании привлекали внимание специалистов по информационной безопасности компаний Mnemonic и Norwegian Consumer Council. Санд и Лейкнес также указали, что в июне Министерство торговли США включило Qihoo 360 в список организаций, которые не имеют права работать с американскими компаниями. Власти США заявляют, что компания может представлять потенциальную угрозу национальной безопасности США.
В 2012 году Qihoo 360 обвинялась в наличии бэкдора в браузере 360.