Alla fine di marzo si è tenuta a Heidelberg (Germania) la conferenza tematica sulla sicurezza Troopers 2019. Tra le altre notizie figurava anche un rapporto dello specialista Christopher Bleckmann-Dreher, in cui denunciava la palese irresponsabilità di uno dei produttori locali di smartwatch con tracciamento delle coordinate nel sistema GPS.
Questa storia è iniziata alla fine del 2017, dopo che l’agenzia di sicurezza federale ha vietato e imposto ai proprietari di distruggere gli orologi con possibilità di intercettazioni remote unidirezionali. Tali dispositivi potrebbero essere utilizzati per lo spionaggio nascosto e sono vietati in Germania. Su quest'onda Dreher ha studiato il modello di orologio Paladin dell'azienda austriaca Vidimensio. Nel processo, si è scoperto che le API sui server Vidimensio sono vulnerabili all’intercettazione dei dati, incluso il tracciamento delle coordinate del proprietario, e consentono l’hacking remoto utilizzando semplici comandi.
Gli orologi Vidimensio sono molto popolari in Germania e Austria. Il produttore è stato informato della vulnerabilità, ma, come si è scoperto, ha solo chiuso la possibilità di intercettazioni remote. Nonostante le ripetute richieste di uno specialista del Vidimensio e anche i contatti con le autorità federali, non è successo nulla.
Alla fine, Dreher ha deciso un'azione atipica. Utilizzando una delle vulnerabilità scoperte, il ricercatore ha inviato le coordinate di cui aveva bisogno a più di 300 orologi Vidimensio. È interessante notare che questi orologi furono considerati distrutti, come richiesto dall'agenzia di sicurezza federale. Ma ciò non ha impedito all'orologio "distrutto" di apparire sulla mappa per tracciare le coordinate e formare la parola "PWNED!" (Hacked!) è una tipica frase di saluto degli hacker dopo un hack riuscito.
Lo specialista spera che tale iniziativa susciti interesse per il problema e aiuti a proteggere gli ignari proprietari dal pericolo di fuga di dati personali. A proposito, circa 20 modelli di orologi Vidimensio sono interessati dalla vulnerabilità scoperta, l'elenco dei quali potete vedere sopra, ma questi dispositivi vengono spesso acquistati per bambini e genitori anziani che generalmente hanno poca comprensione della sicurezza.
Fonte: 3dnews.ru