La smartwatch U8 Nucleus envoie des données cryptées à une adresse IP chinoise inconnue

Lors de la conférence Security B-Sides MSP 2016 à San Francisco, Michael Raig, spécialiste de la sécurité des informations de MobileIron, a déclaré avoir découvert une montre intelligente bon marché qui avait été prise dans une communication secrète à l'insu de l'utilisateur. Raig a donné plusieurs exemples spécifiques de la façon dont les applications mobiles utilisées pour travailler avec l'électronique portable moderne peuvent divulguer les données personnelles de leur propriétaire, rapporte news.softpedia.com.


Une série de tests a été menée sur les montres intelligentes modernes les plus populaires pour détecter une activité réseau suspecte. Michael a analysé quatre modèles de smartwatch: Samsung Tizen, Apple WatchOS, Android Wear (Moto 360) et U8 Nucleus.

Ne faites jamais confiance au "bon marché"

Et voici notre gagnant: U8 Nucleus est une montre intelligente bon marché fabriquée en Chine (prix d'environ 17 $), avec son propre système d'exploitation Nucleus.

Dès le début, Raig s'est rendu compte que quelque chose n'allait pas, car au lieu d'aller sur le site et de télécharger l'application pour se synchroniser avec le téléphone, il a reçu un morceau de papier sur lequel l'adresse IP a été enregistrée. De plus, il a téléchargé l'une des applications, ce qui a permis de contrôler l'horloge à partir d'un smartphone. Après avoir installé le logiciel, je n'ai pas eu à attendre longtemps: "Lors de la synchronisation de l'horloge avec un appareil fonctionnant sous Android, [...] ils ont commencé à transférer des données vers une adresse IP inconnue en Chine", a déclaré Raig.

Le trafic est crypté, donc personne ne sait ce qu'il contient. Le chercheur dit que tous les mouvements de données ont eu lieu sur un canal crypté, de sorte qu'il ne peut pas dire ce que l'application mobile transmet. Théoriquement, cela pourrait être de simples données de télémétrie pour une montre intelligente, mais dans le pire des cas, il pourrait s'agir de la liste de contacts d'un téléphone ou d'autres données personnelles de l'utilisateur.

"Du point de vue de l'espionnage d'entreprise, de l'exfiltration des données et des risques, il y a certainement beaucoup d'intéressant et de suspect sur le comportement des montres", a ajouté le chercheur.

Ce qui suit est la présentation de Michael Raig à la conférence. Partie sur U8 SmartWatch à partir de 13h30.

Source: https://habr.com/ru/post/fr391373/