-1.png){kind=logo}
Изучались модели Children's SmartWatch, G36 Children's Smartwatch и SmarTurtles Kid's Smartwatch, которые практически идентичны в аппаратном плане. Все они используют GPS-трекинг, серверный облачный сервис SETracker или SETracker2 и мобильное приложение для iPhone и Android.
Управление часами осуществляется с помощью SMS, но, как оказалось, речь идет не только о сообщениях с зарегистрированных номеров, но и с любых других. Отсутствие фильтрации позволяет злоумышленникам удаленно менять настройки часов, привязывать их к другим смартфонам и следить за детьми.
Кроме того, для подключения к номеру в часах используется стандартный пароль «123456». При этом в документации либо вообще отсутствует упоминание об этом, либо не сказано, как можно изменить пароль.
Также экспертов взволновало то, что им не удалось связаться с разработчиками изученных смарт-часов, поэтому исправлять уязвимости некому.
Источник: cdrinfo
