A finales de marzo se celebró en Heidelberg (Alemania) la conferencia temática sobre seguridad Troopers 2019. Entre otras cosas, apareció un informe del especialista Christopher Bleckmann-Dreher, en el que denunciaba la flagrante irresponsabilidad de uno de los fabricantes locales de relojes inteligentes. con seguimiento de coordenadas en sistema GPS.
Esta historia comenzó a finales de 2017, después de que la agencia federal de seguridad prohibiera y exigiera a los propietarios destruir los relojes con posibilidad de escuchas telefónicas remotas unidireccionales. Estos dispositivos podrían utilizarse para espionaje encubierto y están prohibidos en Alemania. En esta ola, Dreher estudió el modelo de reloj Paladin de la empresa austriaca Vidimensio. En el proceso, resultó que las API de los servidores de Vidimensio son vulnerables a la interceptación de datos, incluido el seguimiento de las coordenadas del propietario, y permiten la piratería remota mediante comandos simples.
Los relojes Vidimensio son bastante populares en Alemania y Austria. El fabricante fue notificado de la vulnerabilidad, pero resultó que solo cerró la posibilidad de escuchas telefónicas remotas. A pesar de los reiterados pedidos de un especialista de Vidimensio e incluso de contactar a las autoridades federales, no pasó nada.
Finalmente, Dreher se decidió por una acción atípica. Utilizando una de las vulnerabilidades que descubrió, el investigador envió las coordenadas que necesitaba a más de 300 relojes Vidimensio. Curiosamente, estos relojes fueron considerados destruidos, tal y como exige la agencia federal de seguridad. Pero esto no impidió que el reloj "destruido" apareciera en el mapa para rastrear las coordenadas y formar la palabra "PWNED!" (¡Hackeado!) es un saludo típico de los hackers después de un hack exitoso.
El especialista espera que esta gestión despierte el interés por el problema y ayude a proteger a los propietarios desprevenidos del peligro de filtración de datos personales. Por cierto, unos 20 modelos de relojes Vidimensio se ven afectados por la vulnerabilidad descubierta, cuya lista puede ver arriba, pero estos dispositivos a menudo se compran para niños y padres ancianos que generalmente tienen poco conocimiento de seguridad.
Fuente: 3dnews.ru