Обнаружена уязвимость в детских смарт-часах
Компания "Доктор Веб" проанализировала потенциальные угрозы, которые таит в себе использование детских смарт-часов и GPS-трекеров.
Собираемые в процессе работы этих устройств данные обычно передаются на серверы производителей и доступны родителям через персональные учетные записи. При этом информация, которую можно получить с помощью "умных" часов, является очень чувствительной. Если она попадет в руки злоумышленников, детям может угрожать серьезная опасность.
Чтобы понять, насколько уязвимы детские смарт-часы и каковы потенциальные риски их использования, специалисты компании "Доктор Веб" исследовали несколько популярных моделей. В частности были изучены несколько версий часов Elari Kidphone 4G, которые построены на базе различных аппаратных платформ. При этом все они работают под управлением ОС Android, и их прошивки отличаются незначительно.
При исследовании выполнялся как статический, так и динамический анализ: поиск потенциальных закладок в ПО и возможного присутствия недокументированных функций, а также проверка передаваемых в интернет данных и их защищенность.
Стоит отметить, что Elari Kidphone 4G широко представлены в украинской рознице.
Анализ показал, что в прошивку этих часов встроено приложение для автоматического обновления "по воздуху" - и оно содержит троянские функции.
Во-первых, оно передает данные о местоположении ребенка на собственный сервер. Во-вторых, внутри него скрыт вредоносный код, детектируемый Dr.Web как Android.DownLoader.3894. При каждом включении часов или изменении сетевого подключения этот код запускает два вредоносных модуля - Android.DownLoader.812.origin и Android.DownLoader.1049.origin. Они связываются с управляющим сервером для передачи на него различной информации, а также получения команд. По умолчанию эти модули подключаются к серверу каждые 8 часов. Таким образом, первое соединение они устанавливают с большой временной задержкой с момента первого включения устройства.
Модуль Android.DownLoader.812.origin отправляет на сервер информацию о номере телефона пользователя, данные геолокации, а также сведения о SIM-карте и самом устройстве. В ответ он может получить команды на изменение частоты запросов на соединение с сервером, обновление самого модуля, загрузку, установку, запуск и удаление приложений, а также загрузку заданных веб-страниц.
Модуль Android.DownLoader.1049.origin передает на другой сервер информацию о SIM-карте и номере телефона, данные о местоположении, большой объем информации об устройстве и установленных на нем приложениях, а также о количестве СМС, телефонных звонков и контактов в адресной книге.
Таким образом, скрытый в этих часах троян Android.DownLoader.3894 может использоваться для кибершпионажа, показа рекламы и установки ненужных и даже опасных программ.