
Director of Security Research at MobileIron
Майкл Рагго, глава корпорации MobileIron, представил на мероприятии BSides доклад, полностью посвященный проблемам безопасности смарт—часов.
Специалист изучил поведение таких устройств, функционирующих на базе Nucleus, Android Wear, Apple watchOS и Samsung Tizen, и обнаружил, что ряд устройств проявляют подозрительную активность. Причем происходит это без ведома пользователя.
Наибольшее количество претензий вызвали часы U8 – бюджетное устройство из Китая, стоимость которого составляет всего 11 долларов. Работает устройство под управлением платформы Nucleus, созданной самим разработчиком.

Странности начались уже в процессе приобретения часов. В комплекте с U8 была отдельная памятка с IP—адресом, с которого необходимо было загрузить утилиту для синхронизации часов с мобильными устройствами на Android или iOS. Приложение выполняет обычные для таких инструментов функции: просмотр SMS—сообщений, ответ на звонок, просмотр контактов.
Загрузив и установив подозрительную программу, Рагго понял, что его опасения были не напрасны. Устройство сразу после подключения к сети начало отправлять запросы на различные IP—адреса (принадлежат Китаю). Поскольку трафик шифруется, специалисту не удалось определить, какая именно информация отправляется. На сайте производителя и в инструкции не упоминаются программы или функции, способные вести себя таким образом.
Эксперт отмечает, что такое поведение нельзя оставлять без внимания, поскольку не исключен корпоративный шпионаж или простая утечка данных. В лучшем случае, утилита отправляет на китайские серверы телеметрию U8. В худшем случае, часы отправляют личную информацию пользователей (например, сообщения или список контактов).