Компания Rapid7, специализирующаяся на кибербезопасности, нашла уязвимости в нескольких моделях детских смарт-часов.

Изучались модели Children's SmartWatch, G36 Children's Smartwatch и SmarTurtles Kid's Smartwatch, которые практически идентичны в аппаратном плане. Все они используют GPS-трекинг, серверный облачный сервис SETracker или SETracker2 и мобильное приложение для iPhone и Android.

Управление часами осуществляется с помощью SMS, но, как оказалось, речь идет не только о сообщениях с зарегистрированных номеров, но и с любых других. Отсутствие фильтрации позволяет злоумышленникам удаленно менять настройки часов, привязывать их к другим смартфонам и следить за детьми.

Кроме того, для подключения к номеру в часах используется стандартный пароль «123456». При этом в документации либо вообще отсутствует упоминание об этом, либо не сказано, как можно изменить пароль.

Также экспертов взволновало то, что им не удалось связаться с разработчиками изученных смарт-часов, поэтому исправлять уязвимости некому.