Легким движением рук наушники превращаются в кибершпиона

Опубликовано at 18:56
46 0

Воистину, нет конца уязвимостям умных устройств! Исследователь безопасности Алан Мони (Alan Monie) из Pen Test Partners обнаружил уязвимости в смарт-наушниках Outdoor Tech CHIPS, которые можно надевать под горнолыжный шлем.

По словам эксперта, уязвимости носят серьезный характер, т.к. позволяют получать персональную информацию, подслушивать разговоры и следить за местоположением пользователей.

Outdoor Tech CHIPS представляют собой наушники, отлично умещающиеся под шлемом, благодаря чему они пользуются популярностью. Кроме того, их можно использовать в качестве рации с малым радиусом действия.

Тем не менее, обладая лишь базовыми привилегиями обычного пользователя, исследователю удалось с помощью небезопасных прямых ссылок на объекты получить следующие данные:

Имена всех пользователей и их электронные адреса;

Хеши паролей пользователей и коды для сброса пароля в незашифрованном виде;

Телефонные номера пользователей;

GPS-координаты, указывающие на текущее местонахождение пользователей;

Подслушивать разговоры по рации в режиме реального времени.

Впечатляет, не так ли? И последний штрих: когда Мони запросил у API первую букву своего имени («А») с целью найти его и добавить в созданную группу, API вернул 19 тыс. результатов – имена всех пользователей, чье имя начиналось на «А», вместе с их электронными адресами. Бери, не хочу.

Сообщается также, что Мони уведомил производителя смарт-наушников о проблемах с безопасностью в его продукте, однако получил отписку.

Читайте также на АКБ, как эксперты по кибербезопасности из компании Eclypsium наглядно продемонстрировали, что хакеры могут арендовать сервер и внедрить в его прошивку шпионское ПО, которое не будет удалено провайдером (который может быть просто не в курсе или пренебрежет обязанностями по очистке сервера).

Наибольшее количество «шпионских» претензий в последнее время связано с умными часами. Так, ранее АКБ сообщало, что Еврокомиссия постановила изъять детские умные часы Enox Safe-KID-One с рынка из-за угрозы нарушения конфиденциальности персональных данных. Обмен данных между сервером и приложением для синхронизации смартфона с часами происходит в незашифрованном виде, а получить доступ к первому злоумышленники могут без авторизации. Злоумышленник может отправлять команды на любые часы этой модели, заставлять их звонить на нужные ему телефонные номера, общаться с ребенком и определять его текущее местоположение с помощью GPS. Мечта педофила, словом.

До этого исследователи компании Pen Test Partners повторно исследовали умные часы для детей от Gator, в которых год назад нашли массу дыр, и проверить, как была улучшена их безопасность. «Угадайте, что мы нашли? Это была полная катастрофа. Кто угодно мог получить доступ ко всей базе данных, в том числе к местоположению детей в режиме реального времени, именам, данным родителей и т.д. Это касается не только часов Gator, но и десятков тысяч часов от других брендов», – сообщил специалист Pen Test Partners Вангелис Стыкас. Уязвимость позволяет злоумышленникам повысить свои привилегии и чрезвычайно проста в эксплуатации. В часах отсутствует механизм проверки наличия у пользователя разрешения на доступ к панели администрирования. Для получения доступа к данным атакующему достаточно лишь знать учетные данные пользователя часов.

Наконец, еще раньше АКБ писало о том, как в детских смарт-часах Fixitime 3 от Elari нашли опасную уязвимость. Благодаря дыре, потенциальный злоумышленник может следить за чужими детьми вместо их родителей через умные часы с символикой мультсериала «Фиксики». А еще данные с этих часов отправлялись все на тот же загадочный китайский сервер.

Подписываемся, следим @CyberAgency

Related Post

Car Sharing: поделись автомобилем со злоумышленником

Опубликовано - 26.07.2018 0
Эксперты из «Лаборатории Касперского» представили неутешительные результаты исследования каршеринговых приложений, как российского, так и зарубежного производства. Уязвимости нашлись в каждой…

Кто хочет повелевать электричеством: в оборудовании Schneider Electric нашли критическую уязвимость

Опубликовано - 29.08.2018 0
Эксперты обнаружили несколько дыр в промышленном оборудовании от крупнейшего поставщика энергообрудования Schneider Electric. Всего были пять опасных уязвимостей, одна из…

Добавить комментарий