4088

Детские смарт-часы и иллюзия безопасности

Вы родитель молодого чада и подумываете о том, что бы купить ему смарт-часы и иметь хоть какой-то контроль над перемещением ребёнка, а так же повысить его безопасность? Но имейте ввиду, что не все устройства выполняют в полной мере функции, возложенные на них. Ниже моя история.


Как отец первокласника, я задумался о том, что бы купить смарт-часы для своего ребёнка. Изучив имеющиеся предложения на рынке, я купил часы Fixitime 3 от российской компании Elari. Ещё бы, их же даже Wylsacom рекомендовал рекламировал.

Вроде бы недешевый гаджет и безопасность данных должна быть на уровне, тем более, когда идёт речь о безопасности детей. Но так как имею некоторые представления о программировании и безопасности мобильных приложений, я полез смотреть трафик последнего. И вот незадача, буквально пол часа спустя я в плане эксперимента смог добавить устройства других детей в своё приложение.

Детские смарт-часы и иллюзия безопасности Fixitime, Elari, Умные часы, Дети, Безопасность, Уязвимость, Длиннопост

Как видно на скриншоте сверху, один ребёнок мой, остальные добавлены произвольным образом.


Теперь, будь я злоумышленником, я бы смог без проблем следить за любым ребёнком, который использует часы этого производителя, а на самом деле любые часы, произведённые китайской компанией Wherecom под разными брендами. О последствиях даже думать не хочется. Для меня стал вопрос, либо возвращать часы продавцу либо пытаться что-то исправить. Я выбрал второй вариант.


Поэтому я написал письма вендеру, китайским разработчикам, в общем тем, кто причастен к созданию и распространению этого чудо-гаджета. Было это не просто, так как на мои сообщения ни кто не хотел отвечать. Так как я живу в Украине, я написал в украинское и в российское представительства Elari, а так же китайским разработчикам сервиса, на сервере которых часы хранят всю информацию. Да, вы правильно поняли, личные данные пользователей отправляются на китайский сервер и что хуже всего, вендор не имеет ни какого контроля над этими данными. Это и не удивительно, ведь в мобильном приложении нет ни какого лицензионного соглашения, а соответственно не прописано, куда передаются ваши личные данные и кто за это будет отвечать. Поэтому, выбирая часы, обращайте на это внимание.


Что же дальше?

Дело движется, но вяло, китайские разработчики неспеша закрывают бреши в безопасности, на которые я им указал, но главная уязвимость всё ещё не закрыта. Вы спросите, а что же Elari? Российское представительство спустя 4 недели мне так и не ответило, а украинскому только и остаётся, что транслировать ответы российского вендора, которые им в свою очередь строчат китайские разработчики.


Деталей уязвимости я по понятным причинам не выкладываю, жду, пока их все не закроют.

Для себя я условно решил дождаться 1-го сентября. Если к тому моменту проблема не решится, буду возвращать часы с фомулировкой, что они не выполняют возложенных на них функций.


Такие вот дела.

С вами был dinikin.

Дубликаты не найдены

+340

На хабр с описанием как добавить и назваием вендора. неделя информационной безопасности

раскрыть ветку 8
+162

Ага, это вариант.

Но китайцы... они всё. Они уже поработали, им уже пофиг, у них уже десяток других моделей на подходе. Ничего они не станут исправлять.

раскрыть ветку 4
+15
С описанием как добавить? Ну то есть с инструкцией похищения детей? Серьезно?
раскрыть ветку 1
-11
Иллюстрация к комментарию
ещё комментарий
+627

Я как-то купил себе зубную щетку. Обычную за 40 рублей. Колгейт. Там был дефект щетины, т.е. среди общего строя щетин одна была очень длинная. Я написал в нашу службу поддержки. Ради прикола. Реации никакой. Только когда написал в американскую, сразу же раздался звонок из российской "здравствуйте, дорогой vano2277   ,  мы хотим передать Вам подарок от фирмы колгейт, скоро к Вам приедет курьер и вручит его, а старую щетку заберет на экспертизу". В подарке были 2 щетки и 2 тюбика пасты. Мелочь, а приятно.

раскрыть ветку 119
+629

Чем-то напоминает историю про парня который считал спички. "Алло Колгейт? У Вашей зубной щетки одна щетина длиннее других. Вы там все ебанулись чтоли?"

раскрыть ветку 20
+218

Даже в голову бы не пришло писать производителю, если честно. Ножницы, две секунды и со щеткой все в порядке. Вы необычный человек!

раскрыть ветку 53
+30
Вчера купила кисточку для окрашивания волос и одна щетинка была длиннее других, я её просто обрезала, а могла получить бесплатные ништяки 😥
Иллюстрация к комментарию
+17

А я вот нихрена не понимаю где вы такой саппорт находите? сколько читал о A4Tech, логитек и т.д.

но вот спустя 14 лет пользования продукцией A4tech (несколько клав, и больше 10 мышей сменил) решил написать в саппорт, после года использования колесо мыши начало жить своей жизнью (Bloody V8), хотел либо починить, либо поменять - мне не важно, но меня послали по всем фронтам :(


а в группе вк посоветовали идти и чинить за свой счет... хм...

сейчас купил новую и наверное последнюю мышь их фирмы A4tech n50 neon black


ну чтоже.... прощайте, хоть и нравилась ваша продукция, но посмотрю теперь на другую.


ну и фото пруф

Иллюстрация к комментарию
раскрыть ветку 39
+5
а адрес доставки им, по доброте душевной, слил бк?
раскрыть ветку 1
0
Я так с туалетной бумагой делал, тоже на экспертизу брали.
+148
То, что их даже Вилсаком хвалил, должно было как раз и насторожить. Вилса это как Логвинов, только по гаджетам.
раскрыть ветку 26
+58

согласна, его уже замечали за реклвмой полного говна.

раскрыть ветку 8
+12

Родня подарила ребенку что-то похожее. То, что это полный шлак было видно сразу. Их даже в сервисе даже не ремонтировали а сразу меняли. 

Короче, дети немного подросли и поставил им на смарты "где мои дети". Не хочу рекламировать, но очень годная приложуха. Уже нашли по ней потерянный в игре телефон.

ещё комментарии
+14
Купил себе Le2 от Leeco. Зарекся больше покупать что-либо по его рекомендациям.
раскрыть ветку 6
+9
Не защищаю вилсакома (если честно, то первый раз о нём слышу). Но каким образом блогер должен при обзоре товара проводить аудит ИТ безопасности?

Вот если бы в сети была куча статей про дырявость этого гаджета, а блогер забил на это, то да...

Лично мне интерфейс и функционал данных часов понравился, но использовать на ребенке я не стал по причине утечки информации в открытом виде в сеть.

В принципе, даже не вдаваясь в поиск дыр ПО, достаточно посмотреть как ходят данные от устройства, чтобы сразу принять решение не вешать на ребёнка публичный маячок.
раскрыть ветку 2
0

А что с Логвиным не так? Я правда помню его времён Игромании - тогда норм закодило

раскрыть ветку 1
+85
Покупать что-то по рекомендации вислакома это так себе затея, прямо скажем. Он и свою маму прорекламирует, если деньжат занесут
раскрыть ветку 5
+2
Как можно не доверять вилса комедии?
раскрыть ветку 1
-11
Ещё бы! Он вообще айфоны хвалит! Как можно ему доверять?!
раскрыть ветку 2
ещё комментарии
+58
даже Wylsacom

ну сразу же видно, что дерьмо от которого бежать надо.

как и сам вилса

раскрыть ветку 2
+12
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 1
+38

@dinikin, и здесь, и на хабре роскомнадзор не любят, но тем не менее - напиши им в вк, например, а копии отправь в пару-тройку новостных каналов. Кому-то из них полюбому станет интересно, особенно про российскую контору, которая продает девайсы, сливающие инфу про несовершеннолетних детей за границу, и, к тому-же, дающую доступ любому желающему к ней. У журналистов часто не хватает инфоповодов для выпуска новостей, кто-то да ухватится.

раскрыть ветку 8
+36

И запретят все смарт-часы на всякий случай, без разбору, защищены они от слива информации или нет

ещё комментарии
+4

Бля. В этих часах можно постить сообщения о недовольстве властью? Можно собирать митинги? Нет? Тогда пусть эта информация уходит куда угодно, всем насрать, роскомнадзору она не интересна.

раскрыть ветку 2
0

Он из Украины, какой ему РКН?

-7
Ага, или Прокопенко, или Киселев, которые будут в очередной раз рассказывать какие все вокруг враги Рассеюшки и хотят загубить наших дитачек
ещё комментарий
+216

подробности не помню, но история такова:

когда развивался интернет, пара головастых ребят нашли уязвимость в сети и рассказал о ней хозяевам сети, те их проигнорировали, тогда они уронили сеть и дыру сразу закрыли

раскрыть ветку 26
+377

Предлагаете ТС похитить пару детей?

раскрыть ветку 14
+33
Вообще, данные действия, а именно затягивание с исправлением ошибок, является пособничество в преступлении. Так что сообщение в нужный орган, поможет сдвинуть с места. Ну или сообщить о бреше как о шпионском устройстве, а ведь так оно и есть.
раскрыть ветку 9
-1

А тут скорее закроют автора поста)

+8

Если продукт пиарил вилса, это знак  "беги "

+6

напиши китайцам, что 1 сентябряЮ если уязвимость не будет устранена, ты её опубликуешь во всех доступных соуиальнвх сетях с полным описанием и указанием вендора и ритейлеров.

раскрыть ветку 7
+14

и что делать всем родителям, купившим часы? Ведь уязвимость станет публичной и её зразу же побегут эксплуатировать различные тёмные личности

раскрыть ветку 4
0

И они подадут на его в суд за шантаж и хакерство.

раскрыть ветку 1
+25

Говорил тебе: "Купи Луч или Полёт"...

раскрыть ветку 1
0
А Луч очень даже не плох сейчас.
+12

Опубликуй эту уязвимость и её сразу закроют

раскрыть ветку 22
+27

Проблема в том, что российский вендор не имеет доступа к коду, соответственно исправить ни чего не может, а китайцы Хабр не читают. Тут нужно публиковать хотя бы на англоязычных ресурсах

раскрыть ветку 18