Marta beigās Heidelbergā, Vācijā, notika drošības konference “Troopers 2019”. Cita starpā Kristofers Blekmans-Drehers sniedza ziņojumu, kurā sīki aprakstīja vietējā GPS viedpulksteņu ražotāja klajo bezatbildību.
Šis stāsts sākās 2017. gada beigās pēc tam, kad Federālā drošības aģentūra aizliedza un pieprasīja īpašniekiem iznīcināt pulksteņus ar tālvadības vienvirziena noklausīšanās iespējām. Šādas ierīces varētu izmantot slepenai spiegošanai, un tās ir aizliegtas Vācijā. Reaģējot uz to, Drehers pārbaudīja Austrijas uzņēmuma Vidimensio pulksteņa modeli Paladin. Šajā procesā viņš atklāja, ka API uz serveriem Vidimensio ir neaizsargāts pret datu pārtveršanu, tostarp īpašnieka koordinātu izsekošanu, un ļauj attālināti uzlauzt, izmantojot vienkāršas komandas.
Vidimensio pulksteņi ir diezgan populāri Vācijā un Austrijā. Ražotājs tika informēts par ievainojamību, taču izrādījās, ka tas bloķēja tikai attālās noklausīšanās funkciju. Neskatoties uz atkārtotiem Vidimensio speciālista jautājumiem un pat aicinājumu federālajām iestādēm, nekas nenotika.
Visbeidzot, Drehers nolēma neparastu soli. Izmantojot vienu no atklātajām ievainojamībām, pētnieks nosūtīja nepieciešamās koordinātas vairāk nekā 300 Vidimensio pulksteņiem. Interesanti, ka šie pulksteņi tika uzskatīti par iznīcinātiem, kā to pieprasīja Federālā drošības aģentūra. Taču tas netraucēja "iznīcinātajiem" pulksteņiem parādīties izsekošanas kartē un parādīt vārdu "PWNED!" (Uzlauzts!) — tipisku hakeru sveicienu pēc veiksmīgas uzlaušanas.
Speciālists cer, ka šis solis izraisīs interesi par šo problēmu un palīdzēs pasargāt neko nenojaušošus īpašniekus no personas datu noplūdes briesmām. Starp citu, atklātā ievainojamība skar aptuveni 20 Vidimensio pulksteņu modeļus, kuru sarakstu varat redzēt iepriekš. Šīs ierīces bieži iegādājas bērni un vecāka gadagājuma vecāki, kuriem ir maza izpratne par drošību.
Avots: 3dnews.ru
