Lenovo Watch X đã gặp phải lỗi bảo mật, nhà nghiên cứu cho biết

Khoa Học/Công Nghệ

Đồng hồ đeo tay của Lenovo đã được sử dụng rộng rãi như là một thứ hoàn toàn khủng khiếp. Khi ra mắt, bảo mật của nó cũng vậy. Đồng hồ thông minh giá rẻ $ 50 là một trong những chiếc đồng hồ thông minh rẻ nhất của Lenovo. Chỉ có sẵn cho thị trường Trung Quốc, bất cứ ai muốn một người phải mua trực tiếp từ đại lục. Lục Thông

Đồng hồ đeo tay của Lenovo đã được sử dụng rộng rãi như là một thứ hoàn toàn khủng khiếp. Khi ra mắt, bảo mật của nó cũng vậy.

Đồng hồ thông minh giá rẻ $ 50 là một trong những chiếc đồng hồ thông minh rẻ nhất của Lenovo. Chỉ có sẵn cho thị trường Trung Quốc, bất cứ ai muốn một người phải mua trực tiếp từ đại lục. May mắn cho Erez Yalon, người đứng đầu nghiên cứu bảo mật tại Checkmarx, một công ty kiểm tra bảo mật ứng dụng, anh được một người bạn tặng. Nhưng anh ấy không mất nhiều thời gian để tìm ra một số lỗ hổng cho phép anh ấy thay đổi mật khẩu của người dùng, chiếm đoạt tài khoản và các cuộc gọi điện thoại giả mạo.

Vì đồng hồ thông minh không sử dụng bất kỳ mã hóa nào để gửi dữ liệu từ ứng dụng đến máy chủ, Yalon cho biết anh có thể thấy địa chỉ email và mật khẩu đã đăng ký của mình được gửi bằng văn bản thuần túy, cũng như dữ liệu về cách anh sử dụng đồng hồ, giống như bao nhiêu bước anh đang thực hiện.

Toàn bộ API không được mã hóa, Yalon cho biết trong một email gửi tới TechCrunch. Tất cả dữ liệu được chuyển bằng văn bản thuần túy.

API giúp cung cấp năng lượng cho đồng hồ dễ dàng bị lạm dụng, anh ta đã tìm thấy, cho phép anh ta đặt lại mật khẩu của bất kỳ ai chỉ bằng cách biết tên người dùng của một người. Điều đó có thể đã cho anh ta quyền truy cập vào tài khoản của bất kỳ ai, anh ta nói.

Không chỉ vậy, anh thấy rằng chiếc đồng hồ đang chia sẻ vị trí địa lý chính xác của mình với một máy chủ ở Trung Quốc. Với sự độc quyền của đồng hồ đối với Trung Quốc, nó có thể không phải là cờ đỏ cho người bản xứ. Nhưng Yalon cho biết chiếc đồng hồ đã có điểm xác định vị trí của tôi trước khi anh ấy đăng ký tài khoản.

Nghiên cứu của Yalon không chỉ giới hạn ở API bị rò rỉ. Ông phát hiện ra rằng đồng hồ thông minh hỗ trợ Bluetooth cũng có thể được chế tác từ gần đó, bằng cách gửi các yêu cầu Bluetooth được chế tạo. Sử dụng một kịch bản nhỏ, anh ấy đã chứng minh việc giả mạo một cuộc gọi điện thoại trên đồng hồ dễ dàng như thế nào.

Sử dụng một lệnh Bluetooth độc hại tương tự, anh ta cũng có thể tắt báo thức - lặp đi lặp lại. Chức năng cho phép thêm nhiều báo thức, cứ sau mỗi phút, thì ông nói.

Lenovo không có nhiều điều để nói về các lỗ hổng, bên cạnh việc xác nhận sự tồn tại của chúng.

Phát ngôn viên của Watch Watch được thiết kế cho thị trường Trung Quốc và chỉ có sẵn từ Lenovo cho các kênh bán hàng giới hạn ở Trung Quốc, phát ngôn viên Andrew Barron cho biết. Nhóm [nhóm bảo mật] của chúng tôi đã làm việc với [nhà sản xuất thiết bị gốc] để đồng hồ giải quyết các lỗ hổng được xác định bởi một nhà nghiên cứu và tất cả các bản sửa lỗi sẽ được hoàn thành trong tuần này.

Yalon cho biết, mã hóa lưu lượng giữa đồng hồ, ứng dụng Android và máy chủ web của nó sẽ ngăn chặn việc rình mò và giúp giảm thao tác.

Việc sửa lỗi các quyền API giúp loại bỏ khả năng người dùng độc hại gửi lệnh đến đồng hồ, giả mạo các cuộc gọi và đặt báo thức, theo ông.

Shodan Safari, nơi tin tặc tấn công các thiết bị tồi tệ nhất được đưa lên internet

Có thể bạn quan tâm