Компания «Доктор Веб» (Российский разработчик средств информационной безопасности) обнаружила троян в прошивке популярных моделей Elari, а также выяснила, что многие смарт-часы по умолчанию используют стандартный пароль для передачи команд по СМС. Таким образом, мошенники могут объединить такие часы в чат-боты или использовать для шпионажа и шантажа родителей. Сами разработчики часов утверждают, что никаких рисков для пользователей их продукция не несет.
Как рассказали в компании «Доктор Веб» безопасность детских смарт-часов в России находятся на весьма неудовлетворительном уровне. Например, смарт-часы Elari Kidphone 4G передают данные о местоположении ребенка на собственный сервер, который расположен за пределами России. Также уточнили, что в гаджетах скрыт троян, который может использоваться для кибершпионажа, показа рекламы и установки ненужных и даже опасных программ.
Директор по продуктам Elari Антон Бадаев подтвердил “Ъ”, что обращение получено, но компания не предоставила методологию исследования. По его словам, заявление компании «Доктор Веб» не соответствует действительности.
«На часах нет браузера, таким образом, ребенок не может выйти в интернет, не получает рекламы и не может установить никакое приложение, которое подается как вирус. Сторонние разработчики также не могут ничего на них установить. Серверы за пределами страны нужны для определения более точной геопозиции и не используют персональные данные», – утверждает Антон Бадаев.
Как сообщают в компании «Доктор Веб», в прошивках многих часов, в том числе российских Wokka Lokka, есть другая проблема: в них используется стандартный пароль для передачи СМС-команд и отсутствует функция его принудительной смены при первом включении.
«Прошивки для смарт-часов под управлением операционной системы Android часто создаются сторонними фирмами, и велика вероятность, что на одном из этапов производства злоумышленники могут внедрять в них троянское или рекламное ПО», — комментируют в компании «Доктор Веб».
Зная номер телефона, установленной в часах сим-карты и используя известный пароль, злоумышленники смогут получить контроль над устройством и доступ ко всей информации, которую собирают часы, объясняют в компании.
«Например, он сможет получить доступ к данным о местоположении ребенка. Если злоумышленник видит, что ребенок вне зоны доступа, то может отправить с незнакомого номера СМС родителям о том, что он попал в беду и срочно нужны деньги», — поясняет директор центра Solar appScreener «Ростелеком-Солар» Даниил Чернов.
По словам эксперта по кибербезопасности «Лаборатории Касперского» Виктора Чебышева основная цель мошенников – получение денег.
«Злоумышленники вряд ли заинтересованы в перехвате данных с часов, обычно их цель — получение финансовой выгоды», — комментирует Виктор Чебышев.
Однако, по его словам, они могут объединять такие часы в бот-сеть, которая будет отправлять и принимать СМС или «накручивать» клики: «То есть устройство само будет «ходить» по веб-страницам по команде от управляющего центра, и каждый клик будет приносить определенную сумму владельцу бот-сети». Такой функционал востребован сегодня на черном рынке.