Znaleziono funkcje monitorujące w smatwatchu dziecięcym sprzedawanym przez norweską firmę.
Norweska firma Xplora twierdzi, że te funkcje te, nigdy nie były używane i zostały usunięte wkrótce po ich ujawnieniu.
„Powinniśmy być pewni, że oferowana technologia nadal pozwala dzieciom być dziećmi” – pisze Xplora na swojej stronie internetowej o smartwatchu Xplora 4.
Około 100 000 smartwatchów tego modelu zostało sprzedanych na całym świecie.
Smartwatch daje rodzicom możliwość komunikowania się i pilnowania swoich dzieci bez konieczności dawania im smartfona.
Jednak niedawno opublikowane wyniki badań ds. bezpieczeństwa z Mnemonic pokazują, że zegarek pełnił inne i do tej pory nieznane funkcje.
W smartwatchu Xplora 4 znaleźli coś, co nazywają tylnymi drzwiami, które umożliwiają robienie zdjęć,
słuchanie rozmów telefonicznych i śledzenie lokalizacji w czasie rzeczywistym.
- Tylne drzwi nie stanowią luki w zabezpieczeniach.
Jest to funkcja, która została opracowana celowo, a jej nazwy zawierają „zdalną migawkę”, „lokalizację wysyłania” i „podsłuch”.
Tylne drzwi są aktywowane przez wysłanie polecenia SMS do zegarka, jak podano w podsumowaniu wyników Mnemonic.
Według testerów z mnemonic, aby skorzystać z tylnych drzwi, trzeba mieć dwie informacje.
Pierwsza to tajny klucz szyfrujący, do którego firma ma dostęp. Druga to numer telefonu użytkownika.
To sprawia, że dostęp do tych funkcji jest trudny, zdaniem Xplory.
Badania dotyczące bezpieczeństwa z Mnemonic uważają, że są to informacje, do których prawdopodobnie i Xplora i ich chińska firma partnerska mają dostęp.
Założyciel i dyrektor generalny Xplora, Sten Kirkbak, uważa, że badacze bezpieczeństwa znaleźli funkcje monitorowania,
które nigdy nie były używane. Pierwotnie miały być wprowadzone do użycia gdyby dziecko uciekło od rodziców lub było w niebezpieczeństwie.
Według Kirkbaka pomysł na te funkcje wywodzi się z incydentu, kiedy on sam zamartwiał się w centrum handlowym o swojego czteroletniego syna.
- Stanowczo kwestionujemy twierdzenie firmy Mnemonic, że to tak zwane tylne drzwi.
Naszym celem z tymi funkcjami w prototypie było umożliwienie rodzicom zdalnej kontroli lokalizacji,
nagrywania i funkcji zrobienia zdjęcia zegarkiem w sytuacji awaryjnej. Te funkcje nigdy nie były używane ze względu na RODO, powiedział Kirkbak NRKbeta.
RODO, zwane także rozporządzeniem o prywatności, zostało wprowadzone do prawa norweskiego w 2018 roku.Przez pomyłkę w oprogramowaniu nadal pozostały linie kodu, które zostały usunięte w obowiązkowej aktualizacji 9 października o godzinie 08:00, mówi Kirkbak.
Zdecydowałeś się zrezygnować z funkcji awaryjnych, ale dlaczego nie zostały one całkowicie usunięte ze smartwatchów?
– Kod na platformie i aplikacji został usunięty, ale przez pomyłkę nie wszystkie te linie kodu zostały usunięte w całości ze wszystkich warstw aplikacji zegarka w oprogramowaniu.
To ludzki błąd, odpowiada Kirkbak.
Kirkbak jest krytyczny wobec Mnemonic, który, jego zdaniem, nie udostępnił możliwości skorygowania tego,
co uważa za raport „niezrównoważony i spekulatywny”. Mnemonic kwestionuje ten opis i twierdzi, że dał firmie możliwość przeglądu ustaleń na piśmie lub telefonicznie.
Problem z chińską współpracą
Funkcje monitorujące zegarków, przesyłały dane do Xplory,
ale badacze bezpieczeństwa z Mnemonic uważają, że w swoich analizach technicznych znaleźli odniesienia do serwerów chińskiej firmy Qihoo 360 i komunikację z nimi.
Qihoo 360 podlega ograniczeniom eksportowym w Stanach Zjednoczonych ze względu na „znaczne ryzyko”, że technologia i materiały mogą być wykorzystywane przez Chiny do celów wojskowych,
wskazuje Mnemonic na swoim blogu. Jest też wariant smartwatcha sprzedawany przez firmę Qihoo w Chinach.
Xplora ma umowę z 360 Kids Guard, spółką zależną Qihoo 360, na produkcję i rozwój smartwatcha. Kirkbak twierdzi, że sprzedawane przez nich smartwatche są „bardzo różne”.