Home Hi-Tech Android World Backdoor nello smartwatch per bambini fa registrare audio e foto da remoto

Backdoor nello smartwatch per bambini fa registrare audio e foto da remoto

“Xplora 4” è lo smartwatch dell’azienda cinese Qihoo 360 Technology. Il target di riferimento di questo orologio smart sono i bambini ma è stata scoperta una funzionalità inquietante che permette di registrare segretamente l’audio e anche scattare foto da remoto.

Lo riferisce The Register spiegando che lo smartwatch in questione è venduto sia negli Stati Uniti, sia in Europa e che il problema del controllo da remoto è stato individuato da Mnemonic, una società norvegese specializzata in sicurezza.

Questa sorta di “backdoor” non è un bug ma a quanto pare una funzionalità deliberatamente inserita dal produttore nello smartwatch. Finora sarebbero stati venduto 350.000 smartwatch con il brand Xplora e l’accesso all’audio e allo scatto da remoto è attivabile inviando SMS che attivano determinati comandi (nel dispositivo è possibile installare una SIM con relativo numero di telefono).

Una backdoor in uno smartwatch per bambini consente di origliare l’audio e scattare foto da remoto

I ricercatori specializzati in sicurezza evidenziano la possibilità di catturare foto dalla fotocamera integrata nello smarwatch, individuare la posizione dei bambini, e intercettare le conversazioni da remoto. I comandi dovrebbero – in teoria – essere utilizzabili dai genitori ma chi li conosce può altresì accedere a queste funzioni.

I produttori di Xplora sostengono che il problema di sicurezza è legato a parti di codice non utilizzate per prototipi e ora è stato risolto. Gli smartwatch di questa azienda sono ad ogni modo quelli già indicati nel 2017 da Mnemonic e dal comitato dei consumatori norvegese per una serie di problematiche legate alla privacy e alla sicurezza.

A giugno di quest’anno il Dipartimento del Commercio statunitense ha indicato attività legate a questo produttore in un elenco di entità che limita la possibilità di fare affari con aziende americane. Le autorità statunitensi affermano, senza fornire però elementi di prova, che questa azienda rappresenta una potenziale minaccia per la sicurezza nazionale USA.

Nel 2012, il gruppo di hacker-attivisti cinesi “Intelligent Defense Friends Laboratory” ha accusato Qihoo 360 di integrare backdoor in “360 Secure Browser”, un browser web che sfrutta lo stesso “motore” di Chrome.

Stando a quanto riferisce Mnemonic, gli Xplora 4 integrano un package denominato “Persistent Connection Service” eseguito all’avvio del procedimento di boot Android, eseguito tramite le app installate sul dispositivo (tutte sviluppate in Cina), creando una lista “intenti”, comandi che consentono di invocare funzionalità nascoste nelle app.

Inviando SMS cifrati è possibile richiamare il command dispatcher (il “centralinista” per lo smistamento dei comandi), attivare il “Persistent Connection Service” e richiamare i comandi di controllo remoto desiderati.

I produttori di Xplora ha riferito a sito The Register di avere adottato provvedimenti per risolvere la situazione, con l’arrivo di una patch per il firmware del dispositivo.


Tutti gli articoli di macitynet dedicati alla sicurezza sono disponibili da questa pagina.

Offerte Speciali

Pubblicità
Pubblicità

Seguici e aggiungi un Like:

64,835FansMi piace
93,828FollowerSegui