Европейская комиссия постановила изъять детские умные часы Enox Safe-KID-One с рынка из-за угрозы нарушения конфиденциальности персональных данных. Злоумышленники могут использовать устройство для отслеживания местоположения и истории звонков владельцев, сообщается в базе системы оперативного оповещения об опасных потребительских товарах RAPEX.

Согласно оповещению RAPEX, обмен данных между сервером и приложением для синхронизации смартфона с часами происходит в незашифрованном виде, а получить доступ к первому злоумышленники могут без авторизации. Это позволяет атакующим использовать и изменять такую информацию, как история местоположения и серийный номер устройства.

Помимо того, злоумышленник может отправлять команды на любые часы этой модели, заставлять их звонить на нужные ему телефонные номера, общаться с ребенком и определять его текущее местоположение с помощью GPS. После обнаружения уязвимостей исландские органы по защите прав потребителей обратились к властям ЕС и попросили изъять устройства с рынка.

В комментарии изданию The Register представитель ENOX заявил, что часы успешно прошли проверку Федеральным сетевым агентством Германии. По его словам, тест, на результатах которого основано оповещение RAPEX, является излишним и нечестным либо проводился на предыдущей версии устройства, которой уже нет на рынке.

Однако о проблемах умных часов высказываются и независимые исследователи. По мнению Кристиана Берниери (Christian Bernieri), итальянского эксперта по защите данных, ENOX не контролирует Android-приложение, поставляемое вместе с устройством. В магазине Play Store информация о нем недоступна, а ссылка на политику конфиденциальности ведет на страницу в LinkedIn. Последняя якобы принадлежит генеральному директору китайской компании Top Watch Communication Technology Co. Ltd Рите Чжоу (Rita Zhou) и также не содержит никаких сведений помимо информации о месте работы.

Несмотря на то что ENOX стала первой компанией, чью продукцию отозвали с рынка ЕС из-за угрозы конфиденциальности персональных данных, аналогичные проблемы обнаруживались и в других носимых устройствах. Так, в конце января исследователи из Pen Test Partners сообщили об уязвимости часов Gator, из-за которой утекли персональные данные 35 тыс. детей и 20 тыс. учетных записей.

Категории: Уязвимости