秘密拍摄儿童智能手表中发现的快照的无证后门

2020-10-12 22:10:44

一位研究人员表示，一款专为儿童设计的流行智能手表包含一个未记录在案的后门，使人们可以远程捕捉相机快照，窃听语音通话，并实时跟踪位置。

X4智能手表由挪威儿童手表销售商Xplora销售。这款售价约为200美元的设备运行在Android系统上，提供一系列功能，包括拨打和接收家长批准的号码的语音呼叫，以及发送SOS广播，提醒紧急联系人手表的位置。在父母的智能手机上运行的另一款应用程序可以让他们控制手表的使用方式，并在孩子迷失方向超出目前的地理边界时收到警告。

事实证明，X4还包含其他东西：一个后门，直到一些令人印象深刻的数字侦察才被发现。后门通过发送加密文本消息来激活。挪威安全公司Mnemonic的研究人员哈里森·桑德(Harrison Sand)表示，存在秘密报告手表实时位置的命令，拍摄快照并将其发送到Xplora服务器，然后拨打电话，将所有声音传输到听力范围内。

桑德还发现，手表上预装的应用程序中有19个是由位于中国的安全公司和应用程序制造商奇虎360开发的。奇虎360的子公司360 Kids Guard也与Xplora联合设计了X4，并制造了手表硬件。

桑德说：“我不想让这样一家公司生产的设备具备这样的功能。”他指的是后门和奇虎360。

今年6月，奇虎360被列入美国商务部制裁名单。理由：与中国政府的关系使该公司有可能从事“与美国国家安全或外交政策利益背道而驰的活动”。奇虎360拒绝对本文发表评论。

在一个已知有间谍黑客记录的国家的手表中，存在无证后门的情况令人担忧。同时，这个特殊的后门的适用性有限。要使用这些功能，需要知道分配给手表的电话号码(它有一个移动电话运营商的SIM卡插槽)和每个设备中硬连线的唯一加密密钥。

Xplora在一份声明中表示，同时获得给定手表的钥匙和电话号码将是困难的。该公司还表示，即使后门被激活，获取任何收集的数据也将是困难的。声明写道：

我们要感谢您给我们带来了一个潜在的风险。除了他们给你寄来的报告之外，助记符不会提供任何信息。我们非常严肃地对待任何潜在的安全漏洞。

重要的是要注意，研究人员创建的场景需要物理访问X4手表和专门的工具来保护手表的加密密钥。它还需要手表的私人电话号码。每块Xplora手表的电话号码都是在父母通过运营商激活时确定的，因此参与制造过程的任何人都无法访问它来复制研究人员创造的情景。

正如研究人员明确表示的那样，即使有人实际接触到这款手表，并有发送加密短信的技能激活了这个潜在的漏洞，快照照片也只会上传到Xplora在德国的服务器，第三方无法访问。该服务器位于高度安全的Amazon Web服务环境中。

只有两名Xplora员工可以访问存储客户信息的安全数据库，并跟踪和记录对该数据库的所有访问。

测试员发现的这个问题是基于最初的内部原型手表中包含的远程快照功能，该功能可能在孩子按下SOS紧急按钮后由父母激活。出于隐私考虑，我们删除了所有商业型号的功能。研究人员发现，一些代码并没有从固件中完全消除。

自从接到警告后，我们已经为Xplora4开发了一个补丁，该补丁在美国无法销售，以解决这个问题，并将在上午8点之前推出。CET在10月9日。自从我们接到通知以来，我们进行了广泛的审计，没有发现任何证据表明在记忆测试之外使用了安全漏洞。

这位发言人说，到目前为止，该公司已经售出了约10万块X4智能手表。该公司正在推出X5。目前还不清楚它是否包含类似的后门功能。

沙子通过一些令人印象深刻的逆向工程发现了后门。他从一根改装的USB数据线开始，然后将其焊接到手表背面裸露的针脚上。使用更新设备固件的界面，他可以从手表上下载现有固件。这让他可以检查手表的内部，包括安装的应用程序和其他各种代码包。

其中一个突出的软件包名为“持久连接服务”(Persistent Connection Service)。一旦设备打开，它就会启动，并迭代所有已安装的应用程序。当它查询每个应用程序时，它会构建一个意图列表-或消息传递框架-它可以调用以与每个应用程序通信。

当桑德发现带有以下名字的意图时，他的怀疑进一步引起了人们的怀疑：

经过更多的探查，桑德发现这些意图是通过用硬连线密钥加密的短信激活的。系统日志显示，密钥存储在闪存芯片上，因此他转储了内容并获得了它-“#hml；fy/sQ9z5MDI=$”(不包括引号)。逆向工程还允许研究人员找出激活远程快照功能所需的语法。

桑德写道：“发送短信触发了一张在手表上拍摄的照片，照片立即被上传到Xplora的服务器上。”“手表上没有任何拍照的迹象。整个过程中，屏幕一直处于关闭状态。“。

桑德说，他没有激活窃听或报告地点的功能，但他说，如果有更多的时间，他有信心可以激活。

正如Sand和Xplora都指出的那样，利用这个后门将是困难的，因为它需要知道唯一的出厂设置的加密密钥和分配给手表的电话号码。因此，拥有易受攻击设备的人没有理由恐慌。

尽管如此，与制造商有联系的人获得密钥的可能性并不是没有的。虽然电话号码通常不会公布，但它们也不完全是私人的。

后门突显了越来越多的日常设备所带来的各种风险，这些设备运行在固件上，如果没有桑德采取的各种英勇措施，这些设备就无法独立检查。虽然这个特殊的后门被使用的可能性很低，但拥有X4的人最好能确保他们的设备尽快安装补丁。

https://arstechnica.com/information-technology/2020/10/a-watch-designed-exclusively-for-kids-has-an-undocumented-spying-backdoor/

tags users