Comments 20
Почему-то вспомнилась серия Футурамы про бунт роботов (2 сезон 14 серия: День Матери)
Это реально крипово)
Статья очень хорошая и криповая, особенно, предпоследний абзац: в последнее время довольно активно рекламировали детские смарт-часы, которые предлагались как важное устройство для ответственных родителей. Возможность отслеживать положение, показатели активности, прослушивать происходящее вокруг ребёнка, отправлять сообщения, делать кучу других вещей. Но большая часть этих часов содержит довольно серьёзные проблемы: начиная от проблем на уровне архитектуры, заканчивая великолепными паролями по умолчанию, которые при типичной эксплуатации устройства не меняются. То, что могут сделать родители, могут сделать и злоумышленники.
Кстати, интересная тема. А кто-нибудь знает подобные часы (ну или хотя бы просто с GPS логгером) для которых есть опенсорсная прошивка? Задумываюсь о том, что бы снабдить такими детей, но реально напрягает, что они вся как чёрные ящики, сливающие всё что можно на какой-то неизвестно кому подконтрольный сервис. Вроде некоторые китайские часы можно подружить с traccar, развёрнутым на собственном сервере, но информации об этом мало, да и часы всё равно остаются чёрным ящиком — фиг его знает, куда они там ещё стучатся.
Н-да.
Скажем так — я последнее время дорабатываю одно из приложений для детских часов (официально продаются в России российской компанией, заявлено отслеживание активности, умеют GPS(прямо на часах), умеют делать запись что вокруг(в том числе без сигналов на часах), умеют 'позвонить домой'/'принять звонок из дома').
Все сильно хуже. Например — общение приложения с управляющим сервером идет без https вообще(никакого своего шифрования тоже нет), если один раз перехватить трафик со смартфона родителя то можно будет в дальнейшем за ребенком приглядывать сколько надо. И сделать все нормально — нельзя по бизнес-причинам.
А если сравнить с приложением для одной российской финансовой структуры с которым тоже работают — клиентские сертификаты жестко вшитые, безопасники которые считают вполне нужным прогнать apk через декомпилятор и попросить объяснить 'а почему это в коде стоит прием всех сертификатов' (в данном конкретном случае — это не было угрозой безопасности).
Скажем так — я последнее время дорабатываю одно из приложений для детских часов (официально продаются в России российской компанией, заявлено отслеживание активности, умеют GPS(прямо на часах), умеют делать запись что вокруг(в том числе без сигналов на часах), умеют 'позвонить домой'/'принять звонок из дома').
Все сильно хуже. Например — общение приложения с управляющим сервером идет без https вообще(никакого своего шифрования тоже нет), если один раз перехватить трафик со смартфона родителя то можно будет в дальнейшем за ребенком приглядывать сколько надо. И сделать все нормально — нельзя по бизнес-причинам.
А если сравнить с приложением для одной российской финансовой структуры с которым тоже работают — клиентские сертификаты жестко вшитые, безопасники которые считают вполне нужным прогнать apk через декомпилятор и попросить объяснить 'а почему это в коде стоит прием всех сертификатов' (в данном конкретном случае — это не было угрозой безопасности).
А что это такое за бизнес-причины такие, можно поинтересоваться? Вопрос в ресурсах на разработку или принципиальная позиция?
Изначально и мобильное приложение и серверная часть и железка — made in china. OEM-конторой что еще и железо самих часов делает. Передавать исходники серверной части российской конторе китайцы прямо отказываются, все доработки только через них.
В результате например часть экранов приложения где на самом деле — webview с сайтом российской компании — по https (хотя там не особо критично вообщем то) а обмен данными — как выше.
В результате например часть экранов приложения где на самом деле — webview с сайтом российской компании — по https (хотя там не особо критично вообщем то) а обмен данными — как выше.
А упомянутые в тексте уязвимости от 2014-2019 годов действительно имели место?
Я думаю даже ссылки на хабр поставлять можно.
Ага, например: Как купить иллюзию безопасности в виде детских смарт-часов.
Интересненько. "Нет судьбы кроме той, которую творим мы сами".
Оффтоп: кофейные автоматы это круто, но перед тем как повестись купить в них стаканчик ароматного кофе подумайте, а часто ли их моют? Убирают тараканов из них? Меняют фильтры? Уверен, что примерно никогда. Я бы точно не парился над этим, если бы у меня было десять автоматов в разных ТЦ, все, что меня волновало бы — скорее окупить их стоимость, а никак не уборщика нанимать.
Пейте кофе дома в своей точно мытой кофемашине. Ну или в хорошем кафе
Я тоже люблю новые технологии, но всё хорошо в меру. Ну и это. Если твой ребёнок первые слова говорит игрушке и только она может заставить его выполнять базовые вещи, то у тебя проблемы реально серьезнее уязвимостей в современных гаджетах, чувак…
Хорошие сюжеты для новых серий какого-нибудь "Черного зеркала"
а… так это был юмор/стеб на интренет вещей? а я уж напрягся
Понятно, конечно, что это художественное произведение, но внутренний зануда во мне прям кричит. Даже если ты взломаешь гироскутер, то все равно никогда не сможешь заставить человека на нем ехать в нужном тебе направлении, максимум ты сможешь его уронить в любой точке его пути. Там же физика езды такая, что управление происходит наклоном тела и если гироскутер подчиняется, то он едет в нужном тебе направлении, а если не подчиняется, ты просто сразу падаешь.
Sign up to leave a comment.
Я в восторге от IoT