XDA智能手机网 - 第一智能手机评述媒体
科技您的位置:首页 >科技 >

研究员打印PWNED由于API不固定 数百张GPS手表的地图

发布时间:2019-04-03 16:29:26 来源:

一位德国安全研究员打印了“PWNED!”这个词。在手表供应商忽视漏洞报告一年多之后,数百张GPS手表的跟踪地图上留下了数千张GPS跟踪手表 - 其中一些是儿童和老人使用的 - 对攻击者开放。

安全研究员Christopher Bleckmann-Dreher在3月底在德国海德堡举行的部队2019年安全会议上发表讲话,提出了一系列影响奥地利Vidimensio公司生产的20多款GPS手表的漏洞。

这些手表型号共享一个通用的后端API,可用作GPS手表和相关移动应用之间的中介和存储点。

他的研究人员开始在德国当局禁止销售具有远程聆听功能的儿童智能手表之后 -据称父母要销毁这些类型的手表 -许多品牌被发现在易受攻击的固件上运行。

与德国当局的警告一致,Dreher发现安全漏洞可以让威胁演员窃听和跟踪佩戴Vidimensio Paladin GPS手表的用户,还可以改变存储在API服务器上的数据并向用户的手表发出各种命令。

在2017年底观看供应商的安全漏洞通知

该研究员表示,他于2017年12月底通知Vidimensio他的调查结果,但该公司在初次报告后未采取任何行动。

由于大多数这些手表在奥地利和德国很受欢迎,因此Dreher当时与德国IT新闻出版物Heise.de合作向制造商报告安全漏洞,制造商在公众压力下于2018年4月发布了修复程序。

但在今天接受ZDNet采访时,Dreher表示这些补丁只针对窃听威胁,而不是其他安全漏洞。

“在03/2018,供应商从他的后端删除了窃听/监控命令,”Dreher告诉ZDNet。“现在可以通过直接向手表发送短信来激活监听模式,[但手表的SIM卡]手机号码必须是已知的。”

“SMS命令是德国联邦网络局(BNetzA)测试报告中的黑屏端口,请参阅我的幻灯片中的第54页。”

其他缺陷仍未修补 - 包括改变API服务器上的数据并向用户手表发送命令的能力。

此外,在他的部队演示中(见下面的视频),研究人员说,他最初在Paladin模型中发现的缺陷也影响了来自同一供应商的20多个其他模型。

热点推荐
随机文章