X4 아동용 스마트워치에서 카메라가 설치된 문서화되지 않은 백도어 발견

모든 인터넷에 연결되는 장치는 취약해질 수 있다는 점은 강조할 필요가 없습니다. 특히 아이들이 사용하는 장치가 그러합니다. Xplora X4 스마트워치를 가진 자녀가 있는 부모는 문서화되지 않은 백도어가 포함되어 있다는 이 소식에 걱정해야 합니다. 이 백도어는 사진을 찍는 기능을 포함하고 있습니다.

아동용 스마트워치에서 발견된 백도어

아이들이 자주 착용할 수 있는 스마트워치가 있다는 것은 좋게 들리지만, 이는 인터넷에 연결되고 취약해질 수 있다는 점을 기억해야 합니다. Xplora의 X4 스마트워치는 안드로이드를 운영하며, 부모가 승인한 번호로 전화를 걸고 받을 수 있고, SOS를 발신하며, 자녀의 위치를 GPS로 전송할 수 있으며, 부모 스마트폰의 앱으로 제어할 수 있습니다. 이론상으로는 안전해 보입니다.

그러나 이 아동용 스마트워치에는 노르웨이 보안 업체 Mnemonic의 연구자들이 발견한 문서화되지 않은 백도어가 포함되어 있습니다. 이 시계는 위치를 보고하고 사진을 찍어 Xplora 서버로 전송하며, 수신할 수 있는 모든 소리를 전송하는 전화 통화도 할 수 있는 기능을 갖추고 있습니다.

시계에 사전 설치된 앱은 Qihoo 360 개발자가 만든 것입니다. 이 회사는 중국 정부와의 연관성 때문에 미국 상무부 제재 명단에 올랐으며, 미국 국가 안보나 외교 정책 이익에 반하는 활동을 할 가능성이 높다고 믿고 있습니다.

따라서 이 아동용 스마트워치는 자녀에 대한 정보를 회사의 서버로 전송할 수 있는 능력을 가질 뿐만 아니라, 해킹 기록으로 인해 종종 차단되는 국가의 회사와 연결되어 있는 것입니다.

패치 발표 예정

하지만 X4 스마트워치의 백도어를 찾기 위해서는 히어로적인 노력도 필요했습니다. 다른 사람들이 이를 찾기 위해서는 같은 방법이 필요하지 않지만, 시계의 전화번호와 각 시계에 고정되어 있는 고유한 암호 키를 알아야 합니다.

Xplora는 “잠재적 보안 결함을 매우 심각하게 받아들인다”고 밝혔다. 그들은 스마트워치의 백도어에 접근하기 위해 필요한 노력에 대해 설명하고, 제작에 관련된 누구도 논의된 상황을 복제하기 위해 스마트워치에 부착된 전화번호에 접근할 수 없다고 덧붙였습니다.

“스마트워치에 물리적으로 접근할 수 있는 사람과 암호화된 SMS를 전송할 수 있는 기술을 가진 사람이 이 잠재적 결함을 활성화하더라도, 스냅샷 사진은 오직 독일의 Xplora 서버에 업로드되며 제3자가 접근할 수 없습니다. 이 서버는 매우 안전한 아마존 웹 서비스 환경에 위치하고 있습니다.”

Xplora는 고객 정보가 저장된 “안전한 데이터베이스”에 접근할 수 있는 직원은 단 두 명이라고 추가로 언급했습니다. 하지만 이것이 여러분을 더 안전하게 느끼게 할지는 모르겠습니다.

또한 연구자들이 발견한 문제는 “아이들이 SOS 비상 버튼을 눌렀을 때 부모가 활성화할 수 있는 초기 프로토타입 시계에 포함된 스냅샷 기능을 기반으로 하고 있습니다. 우리는 개인 정보 보호 문제로 인해 상업적 모델에서는 이 기능을 제거했습니다. 연구자는 펌웨어에서 일부 코드가 완전히 제거되지 않았음을 발견했습니다.”

Xplora는 백도어에 대한 경고를 받은 이후 패치를 개발했으며, 이를 사용할 수 있습니다. 그들은 이 시계가 미국에서는 구입할 수 없다고 밝혔습니다. Xplora 웹사이트에 따르면 영국, 독일, 스페인, 프랑스 및 폴란드에서 이용 가능하다고 합니다.

이 아동용 스마트워치의 백도어에 대한 정보를 그대로 받아들여야 합니다. 원래는 시계에 있어야 했지만 제거된 것이기 때문입니다. 최소한 한때 이 회사는 기능을 포함할 예정이었고, 그 후 이를 제거했습니다. 또한 다른 제조업체의 아동용 스마트워치를 구입하기로 결정하기 전에도 이 사항을 염두에 두는 것이 중요합니다. 어느 정도 가능성은 있다는 것을 아시기 바랍니다.

백도어에 대한 더 많은 정보가 필요하다면, 암호화 백도어가 설명된 내용을 따라 읽어보세요.