Компания "Доктор Веб" нашла опасные уязвимости в детских смарт-часах и фитнес-трекерах. Подобные устройства пользуются большим спросом у родителей, поскольку благодаря гаджетам они всегда могут видеть, где находится их ребёнок.
Специалисты одного из лидеров российского рынка кибербезопасности обнаружили, что во многих популярных моделей смарт-часов для детей по умолчанию используется стандартный пароль для передачи СМС-команд. Это означает, что если злоумышленник знает номер телефона сим-карты, которая вставлена в часы, то он может получить не только доступ к информации, но и фактический контроль над устройством.
Более того, в одной из моделей смарт-часов, входящих в тройку самых популярных по продажам, эксперты обнаружили встроенное троянское ПО, которое передаёт геолокационные данные устройства на сторонний сервис, находящийся за границей. Таким образом за местонахождением ребёнка могут следить не только родители, но и злоумышленники.
Metro поговорило с экспертом по кибербезопасности Сергеем Вакулиным о том, чем могут быть опасны гаджеты и как уберечь себя от киберслежки.
В прошивке популярных моделей смарт-часов обнаружили троян, а во многих подобных устройствах по умолчанию используют стандартный пароль для передачи команд по СМС. Как злоумышленники могут это использовать – шантаж, шпионаж, обман?
- И шпионаж, и шантаж. Продажа данных – это реальная проблема. Многие слышали, что где-то и что-то сливается в даркнете, но они не имеют понятия, что это такое. А в даркнете огромный массив данных, которые продаются не за 100-200 рублей, ценник может доходить до миллионов в зависимости от персоны, о которой вам нужна информация.
Прошивки для смарт-часов работающих на базе операционной системы Android часто создаются сторонними фирмами. Насколько велика вероятность, что на одном из этапов производства злоумышленники могут внедрять в них троянское или рекламное ПО? Часто ли компании стремятся удешевить производство, жертвуя безопасностью продукта?
- Прошивки есть официальные и кастомные. В последних могут присутствовать какие-то дополнения, созданные третьими лицами. Я встречал телефон с кастомной прошивкой, на которых было установлен троян, и даже после сброса до заводских настроек это приложение вновь оказывалось на устройстве.
Если говорить про официальные прошивки, то они, как правило, безопаснее, и сами пользователи, устанавливая приложения и даже не читая пользовательское соглашение, ставят под угрозу свою конфиденциальность. Бывают случаи, когда приложению "калькулятор" разрешают использовать камеру, микрофон, доступ к контактам, хотя ничего этого для его функционирования не требуется.
Конечно, в каждой компании, которая разрабатывает ПО, могут быть "крыски", которые либо сами хотят получать сведения о юзерах, либо перенаправлять и перепродавать их. Уберечься от этого почти невозможно.
Некоторые эксперты утверждают, что опасность надумана: в часах нет браузера, таким образом ребёнок не может выйти в интернет, не получает рекламы и не может установить никакое приложение. Сторонние разработчики также не могут ничего на них установить. Насколько всё-таки реальна угроза?
- Смарт-часы, как правило, обмениваются информацией с телефоном. И если в часах отсутствует подключение к интернету, то, конечно, нанести им вред почти невозможно. Но выход в интернет всё равно есть в телефоне. Вредоносное ПО на часах может передавать информацию на смартфон, а уже оттуда она будет отправляться по сети третьим лицам.
Даже если представить, что перехват данных с часов не представляет серьёзный интерес для злоумышленников, то они всё равно могут, получив доступ к устройствам, объединить их в бот-сеть, которая будет отправлять и принимать СМС или "накручивать" клики. Как это вообще происходит, что означает и чем опасно для пользователя?
Да, такое тоже может быть. Троян определённым способом воздействует на систему, которая начинает отправлять информацию на сторонние серверы. Тут мы видим случай контроля над устройством, но всё так или иначе сводится к сливу данных.
Есть ли способ обезопасить себя?
- Ни один специалист по информационной кибербезопасности не может дать вам стопроцентной гарантии. Разработчики, чтобы оградить данные, строят своеобразные стены и заслоны. Но любую стену можно сломать или перепрыгнуть. Если говорить именно о смарт-часах, если проблема и уязвимость в их заводской прошивке, то придётся ждать обновления системы.
Самые опасные для конфиденциальности гаджеты
Компания Mozilla Foundation составила рейтинг Privacy Not Included, в котором перечислила популярные гаджеты и приложения, ранжировав их по уровню кибербезопасности для пользователей. Оказалось, что устройства даже самых именитых производителей могут быть угрозой конфиденциальности.
В своеобразный чёрный список попали:
- планшет для видеозвонков Facebook Portal, который использует незащищённое соединение, а также не имеет контроля включённой камеры и микрофона
- фитнес-браслет Amazon Halo, который под предлогом контроля жировых отложений просит пользователя сфотографироваться в нижнем белье, а после без разрешения использует данные для подбора рекламы
- камеры наблюдения Ring Security Cams, которые хранят записи в незашифрованном виде
- фитнес-трекер Mi Band 5, который, используя подключение к телефону, собирает данные о просмотренных веб-страницах
- домашняя пожарная сигнализация Google Nest Protect, оснащённая микрофоном и собирающая записи
- умная колонка Google Nest Mini, которая делает записи всех поисковых запросов, переговоров, а также собирает информацию о приложениях, к которым имеет доступ
Среди программного обеспечения самыми ненадёжными названы WeChat, Facebook Messenger, Tinder, WhatsApp и Skype.
Стоит отметить, что в список неблагонадёжных гаджетов попали и секс-куклы, оснащённые интеллектуальной системой, которая полностью контролируется извне, куда идёт информация – неизвестно, а пользовательского соглашения о безопасности просто не существует.