Умные часы Lenovo Watch X общаются с непонятным китайским сервером

Опубликовано at 12:46
406 0

Бюджетные «умные» часы Watch X производства компании Lenovo, которые появились на рынке с большой помпой, были раскритикованы экспертами за то, что они угрожают безопасности владельцев. Впрочем, справедливости ради, ровно та же самая проблема свойственна и ряду других марок умных часов (что, на взгляд АКБ, ставит под вопрос всю линейку таких продуктов в целом, по крайней мере на текущий момент).

Эксперт компании Checkmarx Дэвид Сопас выявил в часах от Lenovo ряд уязвимостей, которые могут подвергать пользователей Lenovo Watch X опасности. Так, один баг в часах данной модели был связан с отправкой данных о местоположении пользователя через незашифрованный канал связи на «неизвестный» сервер в Китае.

Другая обнаруженная Сопасом ошибка позволяла провести атаку «человек посередине» с целью перехвата трафика между мобильным приложением и web-сервером. Наконец, третья уязвимость делала беззащитными перед взломом учетные записи
владельцев «умных» часов.

«Из-за отсутствия проверки учетной записи и разрешений появлялась возможность принудительной смены пароля для любого пользователя. Любой, кто знает идентификатор пользователя, может изменить пароль и, следовательно, взломать удаленную учетную запись», – прокомментировал Сопас, который, однако, на этом не остановился и нашел еще три ошибки
в Bluetooth.

Первая уязвимость заключалась в возможности перевода часов в режим беспрерывного сопряжения с помощью движения руки. Вторая ошибка позволяла атакующему отправить специальную команду для установки будильника на часах. Третий баг предоставлял возможность подделывать оповещения о входящих вызовах на часы.

Теоретически в настоящее время обновленные часы должны быть уже лишены всех найденных экспертом проблем.

Ранее АКБ сообщало, что Еврокомиссия постановила изъять детские умные часы Enox Safe-KID-One с рынка из-за угрозы нарушения конфиденциальности персональных данных. Обмен данных между сервером и приложением для синхронизации смартфона с часами происходит в незашифрованном виде, а получить доступ к первому злоумышленники могут без авторизации. Злоумышленник может отправлять команды на любые часы этой модели, заставлять их звонить на нужные ему телефонные номера, общаться с ребенком и определять его текущее местоположение с помощью GPS. Мечта педофила, словом.

До этого исследователи компании Pen Test Partners повторно исследовали умные часы для детей от Gator, в которых год назад нашли массу дыр, и проверить, как была улучшена их безопасность. «Угадайте, что мы нашли? Это была полная катастрофа. Кто угодно мог получить доступ ко всей базе данных, в том числе к местоположению детей в режиме реального времени, именам, данным родителей и т.д. Это касается не только часов Gator, но и десятков тысяч часов от других брендов», – сообщил специалист Pen Test Partners Вангелис Стыкас. Уязвимость позволяет злоумышленникам повысить свои привилегии и чрезвычайно проста в эксплуатации. В часах отсутствует механизм проверки наличия у пользователя разрешения на доступ к панели администрирования. Для получения доступа к данным атакующему достаточно лишь знать учетные данные пользователя часов.

Наконец, еще раньше АКБ писало о том, как в детских смарт-часах Fixitime 3 от Elari нашли опасную уязвимость. Благодаря дыре, потенциальный злоумышленник может следить за чужими детьми вместо их родителей через умные часы с символикой мультсериала «Фиксики». А еще данные с этих часов отправлялись все на тот же загадочный китайский сервер.

Подписываемся, следим @CyberAgency

Related Post

Физические датчики вашего смартфона могут нарушить конфиденциальность

Опубликовано - 26.12.2017 0
Хакеры могут угадать PIN-код вашего смартфона и разблокировать его, используя данные с физических датчиков устройства, таких как акселерометр, гироскоп и…

Паттерны прикосновений: починка тачскрина может подсадить шпиона в ваш телефон

Опубликовано - 10.07.2018 0
Специалисты Университета имени Давида Бен-Гуриона в Негеве (Израиль) продемонстрировали, как злоумышленник может определить данные, вводимые пользователем на сенсорном экране. Данные…

Добавить комментарий