Lenovo Watch X bol preplnený bezpečnostnými chybami, povedal výskumník – TechCrunch


Lenovo Watch X bol široko vybraný ako "absolútne hrozný". Ako sa ukazuje, tak i jeho bezpečnosť.

Inteligentné šetrenie s nízkymi cenami bolo jedným z najlacnejších smartwatchov spoločnosti Lenovo. K dispozícii iba pre čínsky trh, ktokoľvek, kto chce, musí kúpiť jeden priamo z pevniny. Lucky pre Erez Yalon, šéf bezpečnostného výskumu spoločnosti Checkmarx, spoločnosti pre testovanie bezpečnosti aplikácií, dostal od svojho priateľa jedného. Ale netrvalo dlho, aby našiel niekoľko slabých miest, ktoré mu umožnili zmeniť používateľské heslá, únosy účtov a telefonovanie.

Pretože smartwatch nepoužíval žiadne šifrovanie na odosielanie údajov z aplikácie na server, Yalon povedal, že bol schopný vidieť jeho registrovanú e-mailovú adresu a heslo poslané v holom texte, rovnako ako údaje o tom, ako používa hodinky, ako koľko krokov podniklo.

"Celá API bola nezašifrovaná," ​​povedal Yalon v e-mailovej správe spoločnosti TechCrunch. "Všetky údaje boli prenesené v obyčajnom texte."

Rozhranie API, ktoré pomáha napájať hodinky, bolo ľahko zneužité, zistil, čo mu umožnilo vynulovať heslo niekoho jednoducho tým, že poznal meno používateľa. Mohlo by mu to dať prístup k niekomu účtu, povedal.

Nielen to, zistil, že hodinky zdieľali jeho presnú geolokáciu so serverom v Číne. Vzhľadom na exkluzivitu hodiniek do Číny nemusí byť domorodcom červená vlajka. Ale Yalon povedal, že hodinky "už označili moju polohu" predtým, ako dokonca zaregistroval svoj účet.

Výskum Yalóna nebol obmedzený iba na nepríjemné API. Zistil, že smartwatch s podporou technológie Bluetooth môže byť tiež manipulovaný z blízkeho okolia odoslaním upravených požiadaviek na technológiu Bluetooth. Použitím malého scenára ukázal, aké ľahké je zablokovať telefonát na hodinkách.

Pomocou podobného škodlivého príkazu Bluetooth mohol nastaviť aj budík – znova a znova. "Funkcia umožňuje pridávať viaceré alarmy, tak často ako každú minútu," povedal.

Spoločnosť Lenovo nemala čo povedať o zraniteľnostiach, okrem toho, že potvrdila ich existenciu.

"Watch X bol navrhnutý pre čínsky trh a je dostupný len od spoločnosti Lenovo na obmedzené predajné kanály v Číne," povedal hovorca Andrew Barron. "Naši [security team] Tím spolupracuje s [original device manufacturer] čo robí hodinky na riešenie zraniteľnosti identifikovanej výskumníkom a všetky opravy sa majú ukončiť tento týždeň. "

Yalon povedal, že šifrovanie prenosu medzi hodinkami, aplikáciou Android a jej webovým serverom by zabránilo snoopingu a pomohlo by znížiť manipuláciu.

"Oprava oprávnení API eliminuje schopnosť používateľov so zlými úmyslami posielať príkazy na sledovanie, podvodné hovory a nastavenie alarmov," povedal.