A Lenovo Watch X-t biztonsági bogarakkal telt el, kutató szerint – TechCrunch


A Lenovo Watch X-ét széles körben „teljesen szörnyűnek” nevezték. Mint kiderült, a biztonság is volt.

Az alacsony 50 dolláros smartwatch a Lenovo egyik legolcsóbb okostelefonja volt. Csak a kínai piacon érhető el, aki azt akarja, hogy közvetlenül a szárazföldről vásároljon. Szerencsés volt Erez Yalonnak, a Checkmarx biztonsági kutató cégének vezetőjének, egy alkalmazásbiztonsági tesztelő cégnek, egy barátjával. De nem sokáig tartott rá, hogy több sebezhetőséget találjon, ami lehetővé tette számára, hogy megváltoztassa a felhasználó jelszavát, a számlák elrablását és a telefonos hívások megtévesztését.

Mivel az smartwatch nem használt titkosítást az adatoknak a szerverre történő elküldéséhez, Yalon azt mondta, hogy láthatta a regisztrált e-mail címét és jelszavát egyszerű szövegben, valamint az órát használó adatokat, mint például hány lépést tett.

„A teljes API titkosítatlan volt” – mondta Yalon egy e-mailben a TechCrunch-nek. „Az összes adat egyszerű szövegben került átadásra.”

Az API-t, amely segíti az órát, könnyedén visszaéltek vele, és úgy találta, hogy lehetővé tette, hogy bárki jelszavát csak egy személy felhasználónevének ismeretében állítsa vissza. Ez lehetővé tette számára, hogy hozzáférjen bárki fiókjához, mondta.

Nem csak ezt, azt találta, hogy az óra megosztotta pontos geolokációját egy kínai szerverrel. Tekintettel az órára vonatkozó kizárólagosságra Kínában, talán nem lehet piros zászló a bennszülöttek számára. De Yalon azt mondta, hogy az óra „már rámutatott a helyemre”, mielőtt még regisztrálta a fiókját.

A Yalon kutatásai nem csupán a szivárgó API-ra korlátozódtak. Megállapította, hogy a Bluetooth-os smartwatch-ot a közelben is manipulálni lehetett, amikor elkészített Bluetooth-kéréseket küld. Egy kis szkript segítségével megmutatta, hogy mennyire könnyű volt egy telefonhívást megtéveszteni az órán.

Hasonlóan rosszindulatú Bluetooth-parancs használatával a riasztást is beállíthatja – újra és újra. „A funkció lehetővé teszi több riasztás hozzáadását, akárcsak minden percben” – mondta.

A Lenovo nem volt sok mondanivalója a sérülékenységekről, amellett, hogy megerősítette létezésüket.

„A Watch X-et a kínai piacra tervezték, és csak a Lenovo-tól kapható, korlátozott értékesítési csatornákhoz Kínában” – mondta Andrew Barron szóvivő. „A [security team] a csapat dolgozik a [original device manufacturer] ez teszi az órát a kutató által azonosított sebezhetőségek kezelésére, és a javításokat ezen a héten kell befejezni. ”

Yalon azt mondta, hogy az óra, az Android alkalmazás és a webkiszolgáló közötti forgalom titkosítása megakadályozná a szaggatást és csökkenti a manipulációt.

„Az API-jogosultságok megszüntetése kiküszöböli a rosszindulatú felhasználók azon képességét, hogy parancsokat küldjenek az órának, hamis hívásoknak és riasztásoknak” – mondta.