Компания Rapid7, работающая в сфере кибербезопасности, выявила уязвимость в ряде детских умных часов с поддержкой GPS. Исследователи приобрели на сайте Amazon часы трех марок: Children's SmartWatch, G36 Children's Smartwatch и SmarTurtles Kid's Smartwatch. Изучение устройств показало, что они имеют практически одинаковое аппаратное и программное обеспечение. Точнее говоря, аппаратная часть часов идентична той, что используется в аналогичном устройстве китайской компании 3G Elec. Все часы используют GPS-трекинг, серверный облачный сервис SETracker или SETracker2 и мобильное приложение для iPhone и Android. Судя по подписи разработчика ПО, он связан с 3G Elec.

Одна техническая сторона уязвимости связана с тем, что для управления часами используются SMS, но вопреки описанию, часы воспринимают сообщения не только с заранее определенного телефонного номера, но и с любого другого. Отсутствие фильтрации позволяет злоумышленникам удаленно менять настройки часов, привязывать их к другим смартфонам и следить за детьми.

Другое слабое место — недокументированный пароль по умолчанию, используемый для связи с устройствами. По умолчанию паролем служит строка «123456». При этом в документации либо вообще отсутствует упоминание об этом, либо не сказано, как можно изменить пароль.

Ситуацию усугубляет третий момент, носящий не технический, а организационный характер. Все попытки получить сведения о поставщиках часов или связаться с ними оказались безуспешными. Это, в частности, означает, что можно не рассчитывать на устранение обозначенных выше технических проблем.