Часики с секретом: выбираем хитрый гаджет, который заменит школьнику телефон

news@e1.ru
08:18, 08.08.2018

Екатеринбургские родители — об умных
часах, которые умеют подслушивать и подглядывать за детьми

Оригинал статьи

HeatExtend
08:27, 08.08.2018
В наше время и телефонов то не было. Дети какие то немощные вырастают. На штыри падают и ворота на себя роняют.
DELIMP
08:27, 08.08.2018

От пользователя news@e1.ru
Екатеринбургские родители — об умных часах, которые умеют подслушивать и подглядывать за детьми

Яжематери и яжеотцы версия 2.1.1 8-(
Замена Власти
08:27, 08.08.2018
Очередная дурь от яжематери и пропаганды дети цветы жизни и их нужно баловать, следить за ними, короче лишая их личности индивидуальной и личной жизни. От чего они будут менее самостоятельны и приспособлены.
Adwian
08:31, 08.08.2018
"У многих таких гаджетов есть ещё режим прослушки — родители могут воспользоваться им, чтобы в любой момент в реальном времени услышать, что происходит вокруг ребёнка."
Ау Е1... Когда пишете что либо мозги включайте и УК читайте Данные часики статья 138.1 УК РФ в чистом виде.
tserg-usss
08:31, 08.08.2018
Уже писали во многих местах.
ПО таких часов (а если точнее - ПО по управлению часами, устанавливаемое на телефон родителя) - имеет огромные "дыры" и тупо сливает в сеть все личные данные как по часам, так и по телефону родителя.
08:33, 08.08.2018
Плюс к этому можно вставить в часы сим-карту, и у них появится функция простейшей «звонилки» с минимальным набором контактов. При этом на часы не смогут позвонить с «левых» номеров. У многих таких гаджетов есть ещё режим прослушки — родители могут воспользоваться им, чтобы в любой момент в реальном времени услышать, что происходит вокруг ребёнка.

Дожили Е1, стали китайские товары с Али экспресс рекламировать, новости в г.Екатеринбурге и Свердловской области закончились.
Если честно гаджет г :cen: но, приобретал ребёнку года 2-2,5 назад побаловалась походила месяца три, и бросила сейчас всё время года 2 с небольшим валяются, на самом деле набор минимальный, зонить и разговаривать с них неудобно, качество камеры никакое, и подключение к интернету полное "Г". :-( :ultra:
Trader83
08:35, 08.08.2018
От пользователя news@e1.ru
Екатеринбургские родители — об умных
часах, которые умеют подслушивать и подглядывать за детьми

Подслушивать и подглядывать это паранойя какая-то, да и к тому же сигнал могут перехватить педофилы и тоже будут подглядывать!!!
oleg-lev74
08:35, 08.08.2018
Самый лучший гаджет ,это ....ремень животворящий 8-( мозги разминает и вправляет в момент :-)
Вятский Квас
08:38, 08.08.2018
У дочки есть такие часы, но не для прослушки или слежения, я даже не нашел где эта фича прослушки активируется, просто телефон у ребенка в портфеле, портфель хрен зает где....а тут всегда при себе телефон, удобство только в этом.
08:39, 08.08.2018
Да и дети то щас дибильные пошли. :cool:
Trader83
08:43, 08.08.2018
От пользователя Avto-furgon1981
Да и дети то щас дибильные пошли.

Нельзя не согласиться, приятель, в наше время дебилов меньше было!!!
Вятский Квас
08:44, 08.08.2018

От пользователя Avto-furgon1981
Да и дети то щас дибильные пошли.

какие родители такие и дети. у тебя какие?
tserg-usss
08:44, 08.08.2018
Огромная дыра в безопасности выявлена в Приложении из Apple Store для управления детскими смарт-часами. Оно сливает все персональные данные (по ребенку и родителю) на сервер wherecom.com
Кроме того, путем несложного изменения кода оказалось возможным подключиться к часам других детей, следить за ними.
Ознакомьтесь внимательно, прежде чем принимать решение
"Как купить иллюзию безопасности в виде детских смарт-часов"
http://www.yaplakal.com/forum2/topic1822021.html
:ultra:
Didara
08:45, 08.08.2018
К сожалению, в современном мире это не прихоть, а необходимость. Прослушка может и лишнее, а вот место локации отпрыска лучше родителям знать. А то сколько было случаев, ушёл в школу и заблудился на пару дней и весь город на ушах.
Вятский Квас
08:45, 08.08.2018

От пользователя tserg-usss
http://www.yaplakal.com/forum2/topic1822021.html

это серьезное издание. да.
08:48, 08.08.2018
Молодец :cool:
tserg-usss
08:49, 08.08.2018
Весь этот богатый набор возможностей часов убеждает родителей, что они получают если не полный, то достаточно существенный контроль над своим чадом. Но, с другой стороны, устройства с таким функционалом должны надежно защищать данные своих пользователей. Тем более, что такими пользователями являются дети. Страшно представить, что может произойти, если злоумышленник получит доступ к устройству ребенка и сможет следить за ним.
Терзаемый такими мыслями, я решил проверить, насколько безопасным является использование купленных мною часов.

После того, как я установил приложение Elari SafeFamily из Apple Store и добавил в него часы по QR коду, я запустил Fiddler на ноутбуке и начал анализировать трафик. Приложение отправляло данные на сервер http://wherecom.com. Первое, на что я обратил внимание, это то, что использовался обычный HTTP протокол, никакого шифрования трафика не было, ни HTTPS, ни SSL Pinning. У меня закралась тревожная мысль, что этим дело не закончится.

Так и оказалось. Продолжая анализировать запросы и подменяя в них параметры, я обнаружил первую уязвимость. Так, запрос по адресу: http://api.wherecom.com:8099/umeox/api/holder/detail.json?holderId=111111&monitorId=222222 возвращал подробную информацию о ребёнке: его имя, дату рождения, рост, вес, в какой класс ходит, номер телефона, имейл родителей, фото ребёнка и главное — QR код его часов. Зная последний, любой мог добавить часы этого ребёнка в своё приложение и следить за ним так же, как это делают его родители. Суть же уязвимости заключалась в том, что изменив значение параметра monitorId в запросе в большую или меньшую сторону, мы получим данные другого ребёнка. 
http://www.yaplakal.com/forum2/topic1822021.html
tserg-usss
08:50, 08.08.2018
Продолжая анализировать трафик, я обнаружил ещё несколько запросов, подмена параметров которых позволяла получить различные данные пользователей, такие как история GPS координат, данные родителей (имена, телефоны, имейлы). Но вся эта информация и так была доступна благодаря первой уязвимости с QR кодом. Единственное отличие было в том, то добавляя QR код в приложение, злоумышленник бы выдал себя, так как эта информация отображалась в приложении родителей. Выполняя же другие уязвимые запросы, злоумышленник мог оставаться незамеченным.

Помимо прочего, эксплуатацию перечисленных уязвимостей порядком упрощал тот факт, что все эти данные были доступны без какой либо авторизации к API с любого устройства, что говорит многое о качестве разработанного ПО и отношению к вопросам безопасности в целом.

Получается, что производитель, разрабатывая устройство, предназначенное повысить безопасность ребёнка, на самом деле не заботится о ней, как таковой. Таким образом под угрозой оказались несколько сотен тысяч устройств не только компании Elari, но и всех устройств, произведённых китайской компанией Wherecom.

Дальнейший анализ показал, что наружу торчат служебные страницы со статистикой сервера, админка phpMyAdmin, страница phpinfo. 
http://www.yaplakal.com/forum2/topic1822021.html
tserg-usss
08:52, 08.08.2018
От пользователя Вятский Квас
это серьезное издание. да.
А причем здесь "Издание". Такая же платформа для общения как и Е1.
Человек пишет про уязвимости, которые он нашел.
Или вы хотите, чтобы это было выложено на официальном сайте производителя часов? :-D
08:55, 08.08.2018
Е1,мне питик за идею :ultra:
tserg-usss
08:56, 08.08.2018
От пользователя Adwian
"У многих таких гаджетов есть ещё режим прослушки — родители могут воспользоваться им, чтобы в любой момент в реальном времени услышать, что происходит вокруг ребёнка."
Ау Е1... Когда пишете что либо мозги включайте и УК читайте Данные часики статья 138.1 УК РФ в чистом виде.
Самый дибилизм ситуации в том, что если вы такие гаджеты, которые можно использовать для прослушки или видеослежения купите через Али-экспресс - то вам статью повешают и срок.
А вот если эти же гаджеты покупать в торговой точке официального представителя в каком-нибудь торговом центре - то никто на это внимание не обратит и дело не заведут. Потому что официальный производитель уже поделился на официальном уровне.
Это говорит только о том, что эта статья исключительно для того, чтобы душить интернет-торговлю, а покупатели покупали втридорога в "официальных точках продаж"
Вятский Квас
08:56, 08.08.2018

От пользователя tserg-usss
возвращал подробную информацию о ребёнке: его имя, дату рождения, рост, вес, в какой класс ходит, номер телефона, имейл родителей, фото ребёнка и главное — QR код его часов.

а кличку кошки что не отправлял? странно, это первое сто надо отправить
igormail
08:59, 08.08.2018
Школа не место где школьники меряются гаджетами, а родители автомобилями.
Твёрдый_знакЪ
09:02, 08.08.2018

От пользователя news@e1.ru
Функция GPS достаточно приблизительная. Иногда чётко показывает, что ребёнок в школе, чаще — что за два квартала от школы.

Не хочется, конечно, огорчать родителей, но скорее всего GPS не врёт :-D :-D :-D
Обсуждение этой темы закрыто модератором форума.