На конференции BSides Майкл Рагго, возглавляющий компанию MobileIron, выступил с докладом, затрагивающим проблематику безопасности смарт-часов. Эксперт провел анализ поведения устройств на базе Android Wear (Moto 360), Apple watchOS, Nucleus и Samsung Tizen. В результате ему удалось выяснить, что некоторые устройства ведут себя очень странно.
Наибольший интерес у Рагго вызвали китайские смарт-часы U8 стоимостью 17 долларов. Устройство функционирует под управлением Nucleus – собственной операционной системы производителя.
После покупки устройства эксперт обнаружил в комплекте с часами странную записку с IP-адресом, с которого было предложено загрузить приложение для синхронизации часов с устройствами Android или iOS. Приложения дают возможность владельцу часов, синхронизированных со смартфоном, открывать список контактов, просматривать историю SMS-сообщений и отвечать на звонки.
После установки подозрительного приложения Рагго обнаружил, что устройство сразу начало выходить на связь с неизвестными китайскими IP-адресами. Эксперт не смог выяснить, какую информацию передавало мобильное приложение, поскольку трафик был зашифрован. Функционал, который мог бы быть причиной подобного поведения приложения, не упомянут ни в инструкции к часам, ни на сайте производителя.
Рагго назвал ситуацию часами U8 интересной и подозрительной с точки зрения корпоративного шпионажа, утечек данных и информационной безопасности.
Возможно, приложение занимается передачей телеметрии смарт-часов на серверы в Китае. Однако нельзя исключать риска того, что часы U8 передают третьим лицам персональные данные пользователя.
