Con tutti gli scandali che sono emersi negli anni passati, ormai dovrebbe essere chiaro che attrezzare i propri figli con dispositivi capaci di registrare tutto ciò che dicono e fanno nonché di scattare loro fotografie, e senza poter avere un vero controllo sul software che vi gira è un guaio in attesa di verificarsi.
Un’ulteriore conferma di questa situazione viene dalla Norvegia, dove è in vendita lo smartwatch X4 espressamente dedicato ai bambini, distribuito da Xplora (un’azienda norvegese) ma realizzato in Cina, Paese da cui provengono anche 19 delle app preinstallate.
All’apparenza è un dispositivo del tutto analogo a tanti apparecchi simili: venduto a meno di 200 euro, sfrutta il sistema operativo Android e offre tutta una serie di funzioni, tra cui la capacità di fare chiamate e riceverne da numeri approvati dai genitori e un pulsante Sos che, premuto, scatta una foto dell’ambiente circostante e avvisa i contatti di emergenza.
Tramite un’app per smartphone, i genitori possono poi controllare l’utilizzo dello smartwatch e verificare la posizione di chi lo indossa.
Come ha scoperto Harrison Sand, che lavora per l’azienda di sicurezza Mnemonic, X4 dispone anche di un’altra funzione non documentata: una backdoor che permette di controllarlo a distanza.
Sand ha notato che le 19 app cinesi sono state realizzate da Qihoo 360, azienda che tramite la propria sussidiaria 360 Kids realizza e produce lo smartwatch per conto di Xplora e che è sulla lista stilata dal Dipartimento del Commercio degli Stati Uniti in quanto sospettata di essere usata dal governo cinese per compiere «attività contrarie alla sicurezza nazionale» ossia, in parole povere, spionaggio.
Il particolare funzionamento dell’X4 sembra confermare i sospetti su Qihoo.
Le indagini del ricercatore norvegese (rese note ma senza alcuni dettagli critici, che permetterebbero di sfruttare le informazioni a fini poco puliti) mostrano come sia possibile inviare allo smartwatch (che dispone di uno slot per Sim) un Sms criptato all’arrivo del quale il dispositivo scatta una fotografia (sfruttando la funzionalità Sos) che viene immediatamente caricata sui server di Xplora, senza che l’utente sappia ciò che è successo.
Inoltre è possibile avviare – sempre conoscendo il numero di telefono della Sim – una telefonata senza attivare il display, trasformando così lo smartwatch in un microfono che capta tutto ciò che si dice nelle sue vicinanze. Infine, è anche possibile farsi mandare la posizione del dispositivo.
Sand ammette che sfruttare la backdoor non è un’operazione banale: è necessario conoscere non soltanto il numero di telefono ma anche la chiave crittografica univoca di ogni X4 che si intenda controllare. Quest’ultima informazione in particolare, a detta di Xplora, è molto difficile da ottenere.
Tuttavia, il solo fatto che la backdoor esista e che chi sia in possesso delle giuste credenziali possa sfruttarla dovrebbe costituire un pericolo in sé o almeno un motivo di seria preoccupazione per quei genitori che pensano di dotare i propri figli di un dispositivo di sicurezza e invece stanno facendo indossare loro una potenziale microspia.
Informata della situazione, Xplora afferma di aver sviluppato una patch che chiude in via definitiva la backdoor, considerata non tale quanto piuttosto una falla nella sicurezza.