Ende März fand in Heidelberg (Deutschland) eine thematische Sicherheitskonferenz Troopers 2019 statt. Unter anderem gab es einen Bericht des Spezialisten Christopher Bleckmann-Dreher, in dem er über die offensichtliche Verantwortungslosigkeit eines der lokalen Hersteller von Smartwatches berichtete mit Koordinatenverfolgung im GPS-System.
Diese Geschichte begann Ende 2017, nachdem die Bundessicherheitsbehörde Uhren mit der Möglichkeit einer einseitigen Fernabhörung verboten und von den Besitzern verlangt hatte, sie zu zerstören. Solche Geräte könnten zur verdeckten Spionage eingesetzt werden und sind in Deutschland verboten. Auf dieser Welle studierte Dreher das Uhrenmodell Paladin der österreichischen Firma Vidimensio. Dabei stellte sich heraus, dass die APIs auf Vidimensio-Servern anfällig für das Abfangen von Daten sind, einschließlich der Verfolgung der Koordinaten des Eigentümers, und Remote-Hacking mithilfe einfacher Befehle ermöglichen.
Vidimensio-Uhren erfreuen sich in Deutschland und Österreich großer Beliebtheit. Der Hersteller wurde über die Sicherheitslücke informiert, schloss aber, wie sich herausstellte, lediglich die Möglichkeit einer Fernabhörung aus. Trotz wiederholter Anfragen eines Spezialisten von Vidimensio und sogar der Kontaktaufnahme mit den Bundesbehörden passierte nichts.
Schließlich entschied sich Dreher für eine untypische Aktion. Mithilfe einer der von ihm entdeckten Schwachstellen schickte der Forscher die benötigten Koordinaten an mehr als 300 Vidimensio-Uhren. Interessanterweise galten diese Uhren als zerstört, wie es die Bundessicherheitsbehörde forderte. Dies verhinderte jedoch nicht, dass die „zerstörte“ Uhr auf der Karte zur Verfolgung von Koordinaten erschien und das Wort „PWNED!“ bildete. (Gehackt!) ist eine typische Begrüßungsaussage von Hackern nach einem erfolgreichen Hack.
Der Experte hofft, dass eine solche Demarche das Interesse für das Problem wecken und dazu beitragen wird, ahnungslose Eigentümer vor der Gefahr des Verlusts personenbezogener Daten zu schützen. Von der entdeckten Schwachstelle sind übrigens etwa 20 Modelle von Vidimensio-Uhren betroffen, deren Liste Sie oben sehen können. Diese Geräte werden jedoch häufig für Kinder und ältere Eltern gekauft, die im Allgemeinen wenig Verständnis für Sicherheit haben.
Source: 3dnews.ru