2019月底,在德國海德堡舉行的主題安全會議Troopers XNUMX中,有一份由專家克里斯托弗·布萊克曼-德雷爾(Christopher Bleckmann-Dreher)撰寫的報告,其中報告了當地一家智能手錶製造商的公然不負責任行為。
故事始於2017年末,當時美國聯邦安全局禁止並要求擁有者銷毀具備遠端單向竊聽功能的腕錶。此類設備可用於秘密間諜活動,在德國已被禁止。作為回應,德雷爾對奧地利公司Vidimensio生產的Paladin腕錶進行了檢查。在此過程中,他發現該腕錶的API介面有問題。 伺服器 Vidimensio 容易受到資料攔截攻擊,包括追蹤所有者的座標,並且允許使用簡單的命令進行遠端駭客攻擊。
Vidimensio 手錶在德國和奧地利相當受歡迎。製造商已收到有關該漏洞的通知,但事實證明,這只是消除了遠端竊聽的可能性。儘管 Vidimensio 的專家多次提出要求,甚至聯繫了聯邦當局,但什麼也沒發生。
最後,德雷爾決定採取非典型行動。研究人員利用他發現的漏洞之一,將他需要的座標發送到 300 多個 Vidimensio 手錶。有趣的是,按照聯邦安全機構的要求,這些手錶被認為已被銷毀。但這並沒有阻止「被摧毀」的時鐘出現在地圖上,用於追蹤座標並形成「PWNED!」的字樣。 (Hacked!) 是駭客在成功駭客攻擊後的典型問候語。
這位專家希望這樣的做法能引起人們對這個問題的興趣,並有助於保護毫無戒心的業主免受個人資料外洩的危險。順便說一句,大約有 20 款 Vidimensio 手錶受到該漏洞的影響,您可以在上面看到這些設備的列表,但這些設備通常是為兒童和年邁的父母購買的,他們通常對安全性了解甚少。
來源: 3dnews.ru
