U8 Nucleus Smartwatch sendet verschlüsselte Daten an eine unbekannte chinesische IP-Adresse

Auf der Security B-Sides MSP 2016-Konferenz in San Francisco sagte Michael Raig, der Informationssicherheitsspezialist von MobileIron, er habe eine billige Smartwatch entdeckt, die ohne Wissen des Benutzers in der verdeckten Kommunikation gefangen war. Raig gab einige spezifische Beispiele dafür, wie mobile Anwendungen, die für die Arbeit mit moderner tragbarer Elektronik verwendet werden, die persönlichen Daten ihres Besitzers offenlegen können, berichtet news.softpedia.com.


Eine Reihe von Tests wurde mit den beliebtesten modernen Smartwatches durchgeführt, um verdächtige Netzwerkaktivitäten zu erkennen. Michael analysierte vier Smartwatch-Modelle: Samsung Tizen, Apple WatchOS, Android Wear (Moto 360) und U8 Nucleus.

Vertraue niemals "Billigkeit"

Und hier ist unser Gewinner: U8 Nucleus ist eine preiswerte Smartwatch aus China (Preis ca. 17 US-Dollar) mit einem eigenen Nucleus-Betriebssystem.

Von Anfang an erkannte Raig, dass etwas nicht stimmte, denn anstatt auf die Website zu gehen und die Anwendung herunterzuladen, um sie mit dem Telefon zu synchronisieren, erhielt er ein Blatt Papier, auf dem die IP-Adresse aufgezeichnet war. Außerdem lud er eine der Anwendungen herunter, mit denen die Uhr von einem Smartphone aus gesteuert werden konnte. Nach der Installation der Software musste ich nicht lange warten: „Bei der Synchronisierung der Uhr mit einem Gerät mit Android [...] begannen sie, Daten an eine unbekannte IP-Adresse in China zu übertragen“, sagte Raig.

Der Datenverkehr ist verschlüsselt, sodass niemand weiß, was er enthält. Der Forscher sagt, dass die gesamte Datenbewegung auf einem verschlüsselten Kanal stattgefunden hat, so dass er nicht sagen kann, was die mobile Anwendung überträgt. Theoretisch könnten dies einfache Telemetriedaten für eine Smartwatch sein, im schlimmsten Fall jedoch die Kontaktliste eines Telefons oder andere persönliche Benutzerdaten.

"Unter dem Gesichtspunkt der Unternehmensspionage, der Exfiltration von Daten und Risiken ist das Verhalten von Uhren definitiv sehr interessant und misstrauisch", fügte der Forscher hinzu.

Das Folgende ist Michael Raigs Präsentation auf der Konferenz. Teil über U8 SmartWatch ab 13:30 Uhr.

Source: https://habr.com/ru/post/de391373/