В конце марта в Гейдельберге (Германия) прошла тематическая конференция по безопасности Troopers 2019. Среди прочих докладов прозвучал рапорт специалиста Кристофера Блекманн-Дрехера (Christopher Bleckmann-Dreher), в котором тот сообщил о вопиющей безответственности одного из местных производителей умных часов с отслеживанием координат в системе GPS.
Эта история началась в конце 2017 года после того, как федеральное агентство по безопасности запретило и потребовало от владельцев уничтожить часы с возможностью удалённой односторонней прослушки. Такие устройства могли использоваться для скрытого шпионажа и они запрещены в Германии. На этой волне Дрехер изучил модель часов Paladin австрийской компании Vidimensio. В процессе выяснилось, что API на серверах Vidimensio уязвимы для перехвата данных, включая отслеживание координат владельца, и позволяют осуществить удалённый взлом с помощью простых команд.
Часы компании Vidimensio достаточно популярны в Германии и Австрии. Производитель был уведомлен об уязвимости, но, как оказалось, закрыл только возможность удалённой прослушки. Несмотря на неоднократные запросы специалиста в Vidimensio и даже обращение в федеральные органы, ничего не происходило.
Наконец, Дрехер решился на нетипичную акцию. Используя одну из обнаруженных им уязвимостей, исследователь разослал необходимые ему координаты в более чем 300 часов Vidimensio. Интересно, что эти часы считались уничтоженными, как того требовало федеральное агентство по безопасности. Но это не помешало «уничтоженным» часам появиться на карте для отслеживания координат и сложиться в слово «PWNED!» (Взломано!) ― типичное заявление-приветствие хакеров после успешно проведённого взлома.
Специалист надеется, что такой демарш вызовет интерес к проблеме и поможет защитить ничего не подозревающих владельцев от опасности утечек личных данных. Кстати, обнаруженной уязвимости подвержены около 20 моделей часов компании Vidimensio, список которых вы можете увидеть выше, а ведь эти устройства часто берут для детей и пожилых родителей, которые вообще мало что понимают в безопасности.
Источник: 3dnews.ru