Наприкінці березня в Гейдельберзі (Німеччина) пройшла тематична конференція з безпеки Troopers 2019. Серед інших доповідей прозвучав рапорт спеціаліста Крістофера Блекманн-Дрехера (Christopher Bleckmann-Dreher), в якому той повідомив про кричучу безвідповідальність одного з місцевих виробників розумних. системі GPS.
Ця історія почалася наприкінці 2017 року після того, як федеральне агентство з безпеки заборонило і зажадало від власників знищити годинник з можливістю віддаленого одностороннього прослуховування. Такі пристрої могли використовуватися для прихованого шпигунства і вони заборонені в Німеччині. На цій хвилі Дрехер вивчив модель годинника Paladin австрійської компанії Vidimensio. У процесі з'ясувалося, що API на серверах Vidimensio уразливі для перехоплення даних, включаючи відстеження координат власника, і дозволяють здійснити віддалений злом за допомогою простих команд.
Годинник компанії Vidimensio досить популярний у Німеччині та Австрії. Виробник був повідомлений про вразливість, але, як виявилося, закрив лише можливість віддаленої прослуховування. Незважаючи на неодноразові запити спеціаліста у Vidimensio і навіть звернення до федеральних органів, нічого не відбувалося.
Нарешті Дрехер зважився на нетипову акцію. Використовуючи одну з виявлених ним уразливостей, дослідник розіслав необхідні йому координати більш ніж 300 годин Vidimensio. Цікаво, що цей годинник вважався знищеним, як того вимагало федеральне агентство з безпеки. Але це не завадило «знищеним» годинникам з'явитися на карті для відстеження координат і скластися в слово «PWNED!» (Зламана!) ― типова заява-вітання хакерів після успішно проведеного злому.
Фахівець сподівається, що такий демарш викличе інтерес до проблеми і допоможе захистити власників, що нічого не підозрюють, від небезпеки витоків особистих даних. До речі, виявленої вразливості схильні близько 20 моделей годинників компанії Vidimensio, список яких ви можете побачити вище, адже ці пристрої часто беруть для дітей та літніх батьків, які взагалі мало що розуміють у безпеці.
Джерело: 3dnews.ru