Детские смарт-часы и иллюзия безопасности
Вы родитель молодого чада и подумываете о том, что бы купить ему смарт-часы и иметь хоть какой-то контроль над перемещением ребёнка, а так же повысить его безопасность? Но имейте ввиду, что не все устройства выполняют в полной мере функции, возложенные на них. Ниже моя история.
Как отец первокласника, я задумался о том, что бы купить смарт-часы для своего ребёнка. Изучив имеющиеся предложения на рынке, я купил часы Fixitime 3 от российской компании Elari. Ещё бы, их же даже Wylsacom рекомендовал рекламировал.
Вроде бы недешевый гаджет и безопасность данных должна быть на уровне, тем более, когда идёт речь о безопасности детей. Но так как имею некоторые представления о программировании и безопасности мобильных приложений, я полез смотреть трафик последнего. И вот незадача, буквально пол часа спустя я в плане эксперимента смог добавить устройства других детей в своё приложение.
Как видно на скриншоте сверху, один ребёнок мой, остальные добавлены произвольным образом.
Теперь, будь я злоумышленником, я бы смог без проблем следить за любым ребёнком, который использует часы этого производителя, а на самом деле любые часы, произведённые китайской компанией Wherecom под разными брендами. О последствиях даже думать не хочется. Для меня стал вопрос, либо возвращать часы продавцу либо пытаться что-то исправить. Я выбрал второй вариант.
Поэтому я написал письма вендеру, китайским разработчикам, в общем тем, кто причастен к созданию и распространению этого чудо-гаджета. Было это не просто, так как на мои сообщения ни кто не хотел отвечать. Так как я живу в Украине, я написал в украинское и в российское представительства Elari, а так же китайским разработчикам сервиса, на сервере которых часы хранят всю информацию. Да, вы правильно поняли, личные данные пользователей отправляются на китайский сервер и что хуже всего, вендор не имеет ни какого контроля над этими данными. Это и не удивительно, ведь в мобильном приложении нет ни какого лицензионного соглашения, а соответственно не прописано, куда передаются ваши личные данные и кто за это будет отвечать. Поэтому, выбирая часы, обращайте на это внимание.
Что же дальше?
Дело движется, но вяло, китайские разработчики неспеша закрывают бреши в безопасности, на которые я им указал, но главная уязвимость всё ещё не закрыта. Вы спросите, а что же Elari? Российское представительство спустя 4 недели мне так и не ответило, а украинскому только и остаётся, что транслировать ответы российского вендора, которые им в свою очередь строчат китайские разработчики.
Деталей уязвимости я по понятным причинам не выкладываю, жду, пока их все не закроют.
Для себя я условно решил дождаться 1-го сентября. Если к тому моменту проблема не решится, буду возвращать часы с фомулировкой, что они не выполняют возложенных на них функций.
Такие вот дела.
С вами был dinikin.
