2019月底,在德国海德堡举行了主题安全会议Troopers XNUMX,其中有专家Christopher Bleckmann-Dreher的报告,他在报告中举报了当地一家智能手表制造商公然不负责任的行为。在 GPS 系统中进行坐标跟踪。
这个故事始于 2017 年底,当时联邦安全机构禁止并要求所有者销毁可能进行远程单向窃听的手表。此类设备可用于秘密间谍活动,在德国是被禁止的。在此浪潮中,Dreher 研究了奥地利公司 Vidimensio 的 Paladin 手表型号。在此过程中,事实证明,Vidimensio 服务器上的 API 很容易受到数据拦截,包括跟踪所有者的坐标,并允许使用简单命令进行远程黑客攻击。
Vidimensio 手表在德国和奥地利相当受欢迎。制造商已收到有关该漏洞的通知,但事实证明,这只是消除了远程窃听的可能性。尽管 Vidimensio 的专家多次提出要求,甚至联系了联邦当局,但什么也没发生。
最后,德雷尔决定采取非典型行动。研究人员利用他发现的漏洞之一,将他需要的坐标发送到 300 多个 Vidimensio 手表。有趣的是,根据联邦安全机构的要求,这些手表被认为已被销毁。但这并没有阻止“被摧毁”的时钟出现在地图上,用于追踪坐标并形成“PWNED!”的字样。 (Hacked!) 是黑客在成功黑客攻击后的典型问候语。
这位专家希望这样的做法能够引起人们对这个问题的兴趣,并有助于保护毫无戒心的业主免受个人数据泄露的危险。顺便说一句,大约有 20 款 Vidimensio 手表受到该漏洞的影响,您可以在上面看到这些设备的列表,但这些设备通常是为儿童和年迈的父母购买的,他们通常对安全性了解甚少。
来源: 3dnews.ru