Как стать автором
Обновить

В китайских часах для детей Xplora 4 обнаружили бэкдор для получения фотографий и записи звука

Время на прочтение2 мин
Количество просмотров8.2K

Смарт-часы для детей Xplora 4, произведённые китайской компанией Qihoo 360 Technology, могут делать фотографии и записывать разговор по телефону. Запись можно активировать с помощью SMS-сообщения, сообщает норвежская компания по кибербезопасности Mnemonic.

Специалисты Mnemonic Харрисон Сэнд и Эрленд Лейкнес настаивают, что этот бэкдор — не ошибка, а скрытая функция, добавленная в устройство преднамеренно. Исследователи заявили что смарт-часы могут делать фото с помощью встроенной камеры, отслеживать местоположение пользователя, а также прослушивать и записывать телефонные разговоры через встроенный микрофон. Для использования данного бэкдора необходимо знать номер телефона целевого устройства и его ключ шифрования. В Mnemonic не обнаружили доказательств того, что бэкдор когда-либо использовался. 

По данным Xplora, на данный момент продано около 350 тысяч часов. Компания Xplora указывает, что обнаруженная проблема безопасности — это код из прототипа, который не использовался в конечном продукте. Когда разрабатывались смарт-часы, компания получала сообщения от родителей, которые хотели бы иметь возможность получать фото при помощи часов в случае похищения и иметь возможность записывать звук. Xplora включила некоторые функции в прототип устройства, но решила не реализовывать их в коммерческой версии из соображений конфиденциальности. Компания заявляет, что уже выпустила патч для прошивки.

«Xplora очень серьёзно относится к конфиденциальности и любым уязвимостям безопасности, — говорится в комментарии компании для издания The Register. — После того, как мы получили уведомление, мы разработали патч для Xplora 4, который устранит эту потенциальную проблему. Важно отметить, что данная уязвимость требует физического доступа к часам X4 и номеру телефона владельца. Даже если уязвимость будет использована, фото будет размещено только на сервере Xplora в высокозащищенной среде Amazon Web Services, недоступной для третьих лиц».

Пресс-секретарь Xplora сообщил, что компания провела аудит после того, как получила информацию об исследованиях Mnemonic, и не нашла доказательств использования уязвимости.

Ранее смарт-часы компании привлекали внимание специалистов по информационной безопасности компаний Mnemonic и Norwegian Consumer Council. Санд и Лейкнес также указали, что в июне Министерство торговли США включило Qihoo 360 в список организаций, которые не имеют права работать с американскими компаниями. Власти США заявляют,  что компания может представлять потенциальную угрозу национальной безопасности США.

В 2012 году Qihoo 360 обвинялась в наличии бэкдора в браузере 360.

Теги:
Хабы:
Всего голосов 12: ↑12 и ↓0+12
Комментарии12

Другие новости

Истории

Работа

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань