В смарт-часах обнаружили серьезную уязвимость

Компания Rapid7, работающая в сфере кибербезопасности, выявила уязвимость в ряде детских умных часов с поддержкой GPS. Исследователи приобрели на сайте Amazon часы трех марок: Children’s SmartWatch, G36 Children’s Smartwatch и SmarTurtles Kid’s Smartwatch.

Изучение устройств показало, что они имеют практически одинаковое аппаратное и программное обеспечение. Точнее говоря, аппаратная часть часов идентична той, что используется в аналогичном устройстве китайской компании 3G Elec.

Одна техническая сторона уязвимости связана с тем, что для управления часами используются SMS, но вопреки описанию, часы воспринимают сообщения не только с заранее определенного телефонного номера, но и с любого другого. Отсутствие фильтрации позволяет злоумышленникам удаленно менять настройки часов, привязывать их к другим смартфонам и следить за детьми. Другое слабое место — недокументированный пароль по умолчанию, используемый для связи с устройствами. По умолчанию паролем служит строка «123456». При этом в документации либо вообще отсутствует упоминание об этом, либо не сказано, как можно изменить пароль.

Источник