Nieudokumentowany backdoor, który potajemnie robi migawki, został znaleziony w dziecięcym, chińskim smartwatchu.

Sprzedawany przez Norwegów

Smartwatch X4 jest sprzedawany przez firmę Xplora, norweskiego sprzedawcę zegarków dla dzieci. Urządzenie, które kosztuje około 200 dolarów (około 1000 złotych w Polsce), działa na systemie Android i oferuje szereg funkcji, w tym możliwość wykonywania i odbierania połączeń głosowych na numery zatwierdzone przez rodziców oraz wysyłania transmisji SOS, która ostrzega kontakty alarmowe o lokalizacji zegarka. Oddzielna aplikacja działająca na smartfonach rodziców pozwala im kontrolować sposób korzystania z zegarków i otrzymywać ostrzeżenia, gdy dziecko przekroczy określone linie na mapie.

Okazuje się, że smartwatch posiada także dodatkowe, nieudokumentowane funkcje – których jednak raczej nie chcielibyśmy w gratisie. Umożliwiają one zdalne przechwytywanie migawek z aparatu, podsłuchiwanie połączeń głosowych i śledzenie lokalizacji w czasie rzeczywistym.

Odkrycie jest zastanawiające

Backdoor jest aktywowany poprzez wysłanie zaszyfrowanej wiadomości tekstowej. Harrison Sand i Erlend Leiknes, badacze z norweskiej firmy ochroniarskiej Mnemonic, powiedzieli, że istnieją polecenia służące do potajemnego raportowania lokalizacji zegarka w czasie rzeczywistym, zrobienia zdjęcia i wysłania go na serwer Xplora oraz wykonania połączenia telefonicznego, które przekazuje wszystkie dźwięki w zasięgu słuchu.

Sand i Leiknes odkryli również, że 19 aplikacji, które są fabrycznie zainstalowane na zegarku, zostało opracowanych przez Qihoo 360, firmę zajmującą się bezpieczeństwem i producenta aplikacji z siedzibą w Chinach. Spółka zależna Qihoo 360, 360 Kids Guard, również wspólnie zaprojektowała X4 z Xplorą i produkuje sprzęt do zegarków.

Czemu to takie ważne? W czerwcu Qihoo 360 zostało umieszczone na liście sankcyjnej Departamentu Handlu USA. Uzasadnienie: powiązania z chińskim rządem skłoniły firmę do zaangażowania się w działania sprzeczne z bezpieczeństwem narodowym lub interesami polityki zagranicznej Stanów Zjednoczonych.

Xplora: no możemy szpiegować, ale to trudne…

Ten konkretny backdoor ma ograniczone zastosowanie. Aby skorzystać z tych funkcji, ktoś musiałby znać zarówno numer telefonu przypisany do zegarka (który ma gniazdo na kartę SIM od operatora telefonii komórkowej), jak i unikalny klucz szyfrujący wbudowany w każde urządzenie. W swoim oświadczeniu firma Xplora stwierdziła, że uzyskanie zarówno klucza, jak i numeru telefonu do danego zegarka byłoby trudne. Firma stwierdziła również, że nawet gdyby uruchomiono backdoora, uzyskanie jakichkolwiek zebranych danych również byłoby trudne:

Należy zauważyć, że scenariusz, który stworzyli badacze, wymaga fizycznego dostępu do zegarka X4 i specjalistycznych narzędzi. Wymaga również prywatnego numeru telefonu zegarka. Numer telefonu do każdego zegarka Xplora jest określany w momencie aktywacji przez rodziców z nośnikiem, więc nikt zaangażowany w proces produkcyjny nie miałby do niego dostępu w celu odtworzenia scenariusza stworzonego przez badaczy. Nawet jeśli ktoś z fizycznym dostępem do zegarka i umiejętnością wysyłania zaszyfrowanego SMS-a aktywuje tę potencjalną lukę, zdjęcie migawki jest przesyłane tylko na serwer Xplory w Niemczech i nie jest dostępne dla osób trzecich. Serwer znajduje się w bardzo bezpiecznym środowisku Amazon Web Services. Tylko dwóch pracowników Xplora ma dostęp do bezpiecznej bazy danych, w której przechowywane są informacje o klientach, a cały dostęp do tej bazy danych jest śledzony i rejestrowany.
Problem, który zidentyfikowali testerzy, był oparty na funkcji zdalnej migawki, zawartej w początkowych i prototypowych zegarkach wewnętrznych dla umożliwienia korzystania z potencjalnej funkcji, która może zostać aktywowana przez rodziców po naciśnięciu przez dziecko przycisku alarmowego SOS. Usunęliśmy tę funkcjonalność ze wszystkich modeli komercyjnych ze względu na obawy dotyczące prywatności. Część kodu nie została całkowicie usunięta z oprogramowania.