Более 20 моделей часов с GPS по-прежнему позволяют злоумышленникам отслеживать владельцев устройств и изменять функции часов.
шпаргалка по техреспублике
- Как стать разработчиком: зарплаты, навыки и лучшие языки для изучения
Немецкий исследователь безопасности напечатал слово «PWNED!» на картах отслеживания сотен GPS-часов после того, как производитель часов проигнорировал Отчеты об уязвимостях публикуются уже более года, в результате чего тысячи часов с GPS-слежением, некоторые из которых используются детьми и пожилыми людьми, остаются открытыми для нападавшие.
Также: Интернет-безопасность 101: советы по защите вашей конфиденциальности
Выступая на конференции по безопасности Troopers 2019, которая прошла в Гейдельберге, Германия, в конце марта, исследователь безопасности Кристофер Блекманн-Дреер представила серию уязвимостей, затрагивающих более 20 моделей GPS-часов австрийской компании Видименсио.
Все модели часов имеют общий серверный API, который работает как посредник и точка хранения между GPS-часами и соответствующими мобильными приложениями.
Еще в декабре 2017 года Дреер обнаружил недостатки в механизме связи GPS-часов с серверным API-сервером.
Его исследователь начал после того, как власти Германии запретили продажу детских умных часов с возможностью удаленного прослушивания — вплоть до того, что родителям советовали уничтожать эти типы часов — после того, как было обнаружено, что многие бренды работают на уязвимых прошивках.
В соответствии с предупреждением немецких властей Дреер обнаружил недостатки в системе безопасности, которые позволили бы злоумышленникам подслушивать и отслеживать пользователей, носящих GPS-часы Vidimensio Paladin, а также изменять данные, хранящиеся на сервере API, и выдавать различные команды пользователям. часы.
Поставщик часов уведомился о недостатках безопасности в конце 2017 года
Исследователь сообщил, что уведомил Vidimensio о своих выводах в конце декабря 2017 года, но компания не предприняла никаких действий после его первоначального отчета.
Поскольку большинство этих часов были популярны в Австрии и Германии, Дреер в то время работал с немецким новостным изданием IT. Heise.de сообщить о недостатках безопасности производителю, который под давлением общественности выпущенные исправления в апреле 2018 года.
Но в интервью ЗДНет Сегодня Дреер заявил, что эти исправления устраняют только угрозу подслушивания, но не устраняют другие недостатки безопасности.
«В марте 2018 года поставщик удалил команду подслушивания/мониторинга из своего бэкэнда», — рассказал Дреер. ЗДНет. «В настоящее время режим мониторинга можно активировать, отправив SMS непосредственно на часы, но номер мобильного телефона на SIM-карте часов должен быть известен».
«Команда SMS — это затемненный порт в отчете об испытаниях Федерального сетевого агентства Германии (BNetzA), см. стр. 54 в моя слайд-колода."
Остальные недостатки остались не исправленными, включая возможность изменять данные на сервере API и отправлять команды на часы пользователей.
Более того, в своей презентации Troopers (см. видео ниже) исследователь сказал, что недостатки, которые он первоначально обнаружил в модели Paladin, также затронули более 20 других моделей того же производителя.
Новое предупреждение Дреера прозвучало в связи с тем, что число уязвимых GPS-часов Vidimensio выросло в десять раз с декабря 2017 года, несмотря на предупреждение властей Германии уничтожить и прекратить использование детских умных часов с навязчивым отслеживанием и подслушиванием возможности.
По словам исследователя, их число выросло примерно с 700 до 7000, из которых 3000 были активны в прошлом месяце.
Было взломано более 300+ часов!
По словам Дреера, чтобы повысить осведомленность об этих устройствах, которые до сих пор не обновлены. ЗДНет что теперь он обратился к нетрадиционной стратегии. Исследователь использовал одну из обнаруженных им уязвимостей безопасности для вставки поддельных GPS-координат в историю местоположений людей.
Исследователь разработал эти фальшивые GPS-координаты так, чтобы они выглядели как слово «PWNED!» при отображении на карте раздела истории местоположений — отображается в мобильных приложениях и на веб-панели часов.
«Я вставил поддельные GPS-координаты в часы (около 300), которые не были онлайн с начала 2018 года», — рассказал исследователь. ЗДНет. «Я предполагаю, что эти часы были уничтожены их владельцами, как заявило BNetzA в своем уведомлении о запрете».
«Я могу сделать это в больших масштабах, поэтому это могут сделать и плохие хактивисты», — сказал исследователь.
Вся цепочка эксплойтов, которую он описал в своем докладе Troopers, основана на изменении простого параметра и вводе другого. идентификатор пользователя, который является последовательным и начинается с 0 и доходит до номера, присвоенного последнему зарегистрированному пользователю (в настоящее время около 7,000).
Дреер рассказал ЗДНет что он связался с BNetzA — федеральным агентством Германии, которое выпустило уведомление о запрете и уничтожении детских умных часов в 2017 г. — обратилось за помощью, чтобы заставить поставщика исправить недостатки безопасности, но агентство отказалось помочь, сославшись на свои недавние уведомление о запрете как отсутствие действия.
Vidimensio не ответила на запрос дополнительной информации, сделанный через веб-сайт компании.
Хотя продажа детских умных часов запрещена в Германии, совершенно очевидно, что этот запрет не соблюдается. властями, и что пользователи продолжают покупать такие устройства для себя, детей или пожилых людей, игнорируя возможную безопасность риски.
Но ситуация меняется в отношении вопросов кибербезопасности и конфиденциальности на уровне ЕС. В феврале 2019 года власти ЕС издали первый отзыв продукта из-за проблем с безопасностью данных. Не случайно это были детские умные часы, которые производились и продавались в основном в Германии.
Презентация Dreher Troopers 2019 включает следующий список моделей GPS-часов Vidimensio, которые считаются уязвимыми.
Лучшие беспроводные зарядные устройства для вашего смартфона или умных часов
Больше информации о кибербезопасности:
-
Французские заправки ограбили после того, как забыли сменить ПИН-коды бензоколонок
- Исследователи опубликовали список MAC-адресов, подвергшихся взлому ASUS
- Северокорейские хакеры продолжают атаки на криптовалютный бизнес
-
Ведущий рынок даркнета закроется в следующем месяце
- В докладе Россия названа пионером в атаках с использованием GPS-спуфинга
- Более 13 тысяч кластеров хранения iSCSI остались в сети без пароля
-
Мы пригласили профессиональных хакеров атаковать насvrenture.com/
- 10 лучших альтернатив Apple WatchТехреспублика