Ceasul Lenovo Watch X a fost considerat "absolut teribil". După cum se dovedește, siguranța lui a fost și ea

Ceasul low-end de 50 de dolari inteligent a fost unul dintre cele mai ieftine ceasuri inteligente ale Lenovo. Disponibil numai pentru piața din China, oricine dorește, trebuie să cumpere unul direct de pe continent. Lucru pentru Erez Yalon, șeful departamentului de cercetare al securității la Checkmarx, o companie de testare a aplicațiilor pentru aplicații, a primit unul de la un prieten. Dar nu l-a luat prea mult timp pentru a găsi mai multe vulnerabilități care i-au permis să schimbe parolele utilizatorilor, să-i deturneze conturile și să-și piardă telefoanele.

Deoarece ceasul inteligent nu folosea nici o criptare pentru a trimite date de la aplicație la server, Yalon a spus că a putut să-și vadă adresa de e-mail înregistrată și parola trimisă în text simplu, precum și date despre modul în care folosea ceasul, cum ar fi câțiva pași pe care ia luat.

"Întregul API a fost necriptat", a spus Yalon într-un e-mail către TechCrunch. "Toate datele au fost transferate în text simplu."

API-ul care ajută la alimentarea ceasului a fost ușor abuzat, a aflat el, permițându-i să-și restabilească parola pe oricine pur și simplu cunoscând numele de utilizator al unei persoane. Asta ar fi putut să-i dea acces la contul cuiva, a spus el.

Nu numai că, a constatat că ceasul împărțea geolocația sa precisă cu un server din China. Având în vedere exclusivitatea ceasului în China, s-ar putea să nu fie un steag roșu pentru localnici. Dar Yalon a spus că ceasul "mi-a identificat deja locația" înainte să-și fi înregistrat contul.

Cercetarea lui Yalon nu se limita doar la API-ul scurs. El a descoperit că ceasul inteligent cu funcții Bluetooth ar putea fi manipulat și din apropiere, trimițând cereri Bluetooth artizanale. Folosind un scenariu mic, el a demonstrat cât de ușor a fost să falsifice un apel telefonic pe ceas

Folosind o comandă Bluetooth similară rău intenționată, el putea de asemenea să activeze alarma pentru a iesi din nou și din nou. "Funcția permite adăugarea de alarme multiple, la fel de des ca în fiecare minut", a spus el.

Lenovo nu a avut prea multe de spus despre vulnerabilități, pe lângă confirmarea existenței lor.

"Watch X a fost conceput pentru piața din China și este disponibil numai de la Lenovo la canalele de vânzări limitate din China", a declarat purtătorul de cuvânt al lui Andrew Barron. "Echipa noastră [security team] lucrează cu [original device manufacturer] care face ceasul să abordeze vulnerabilitățile identificate de un cercetător și toate remedierile urmează să fie finalizate în această săptămână."

Yalon a spus că criptarea traficului dintre ceas, aplicația Android și serverul său web ar împiedica snooping-ul și ar ajuta la reducerea manipulării.

"Fixarea permisiunilor API elimină abilitatea utilizatorilor rău-intenționați de a trimite comenzi la ceas, la parole și la alarme", a spus el.

Join the LARGEST XXX Cam Site
Watch Series Online for free, Full episodes – Watch Series – Watch Series – swatchseries.bi

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here