Xplora 4 : 어린이 스마트 워치의 백도어로 오디오 및 사진을 원격으로 녹음

"Xplora 4"는 중국 회사 Qihoo 360 Technology의 스마트 워치입니다. 이 스마트 워치의 타겟 청중은 어린이이지만 비밀리에 오디오를 녹음하고 원격으로 사진을 찍을 수있는 불안한 기능이 발견되었습니다.

등록은 보고서 문제의 스마트 워치는 미국과 유럽 및 원격 제어의 문제가 니모닉, 보안 전문 노르웨이 회사에 의해 확인 된 것을 모두 판매하고 있다고 설명.

이런 종류의 "백도어"는 버그가 아니라 제조업체가 의도적으로 스마트 워치에 삽입 한 기능입니다. 지금까지 Xplora 브랜드의 스마트 워치 350,000 개가 판매되었으며 특정 명령을 활성화하는 SMS를 전송하여 오디오 및 원격 셔터 릴리스에 대한 액세스를 활성화 할 수 있습니다 (전화 번호로 장치에 SIM을 설치할 수 있음).

보안 연구원은 스마트 워치에 내장 된 카메라에서 사진을 캡처하고, 어린이의 위치를 정확히 파악하고, 원격으로 대화를 가로 챌 수있는 기능을 강조합니다. 이론상 명령은 부모가 사용할 수 있어야하지만 명령을 아는 사람도 이러한 기능에 액세스 할 수 있습니다.

Xplora의 제작자는 보안 문제가 프로토 타입에 사용되지 않는 코드 조각과 관련이 있으며 현재 수정되었다고 주장합니다. 이 회사의 스마트 워치는 2017 년에 Mnemonic과 노르웨이 소비자위원회에서 개인 정보 보호 및 보안과 관련된 일련의 문제에 대해 이미 지적한 것입니다.

올해 6 월 미국 상무부는이 제조업체와 관련된 활동을 미국 기업과의 비즈니스 수행 능력을 제한하는 법인 목록에 나열했습니다. 미국 당국은이 회사가 미국 국가 안보에 잠재적 인 위협이 될 수 있다고 주장하지만 증거를 제공하지 않습니다.

2012 년 중국 해커-활동가 그룹 인 "지능형 방위 친구 연구소"는 Qihoo 360이 Chrome과 동일한 "엔진"을 사용하는 웹 브라우저 인 "360 보안 브라우저"에 백도어를 통합했다고 비난했습니다.

Mnemonic 보고서에 따르면 Xplora 4는 Android 부팅 프로세스가 시작될 때 실행되는 "Persistent Connection Service"라는 패키지를 통합하고, 장치에 설치된 앱 (모두 중국에서 개발 됨)을 통해 수행되어 "인 텐트"목록, 명령을 생성합니다. 앱에서 숨겨진 기능을 호출 할 수 있습니다.

암호화 된 SMS를 보내면 명령 디스패처 (명령 정렬을위한 "교환기 운영자")를 호출하고 "영구 연결 서비스"를 활성화하고 원하는 원격 제어 명령을 호출 할 수 있습니다.

Xplora 제조업체는 The Register 에 장치 펌웨어에 대한 패치를 제공하면서 상황을 해결하기위한 조치를 취했다고 말했습니다.