Пользователь интернет-портала Pikabu под псевдонимом dinikin опубликовал статью о том, как нашел в детских смарт-часах Fixitime 3 от Elari опасную уязвимость. Благодаря дыре, потенциальный злоумышленник может следить за чужими детьми вместо их родителей через умные часы с символикой мультсериала «Фиксики».
«Вроде бы недешевый гаджет и безопасность данных должна быть на уровне, тем более, когда идёт речь о безопасности детей. Но так как имею некоторые представления о программировании и безопасности мобильных приложений, я полез смотреть трафик последнего. И вот незадача, буквально пол часа спустя я в плане эксперимента смог добавить устройства других детей в своё приложение», — dinikin
Детали уязвимости dinikin не раскрывает, объясняя это соображениями безопасности детей. По словам пользователя, он «проанализировал трафик устройства и обнаружил возможность добавлять владельцев других часов в свое мобильное приложение» (скриншот опубликован в оригинальном посте ).
По данным автора материала, аналогичная уязвимость затрагивает все часы, произведенные китайской компанией Wherecom. Dinikin уведомил производителя о проблеме, и в настоящее время проблема остается неисправленной. Также данные со смарт-часов в неопределенном объеме отправляются в Китай.
«Личные данные пользователей отправляются на китайский сервер и что хуже всего, вендор не имеет никакого контроля над этими данными. Это и не удивительно, ведь в мобильном приложении нет никакого лицензионного соглашения, а соответственно не прописано, куда передаются ваши личные данные и кто за это будет отвечать», — dinikin.
