研究人员发现,联想智能手表存在多种安全问题。
近期,国外有安全研究人员发布了一份关于联想Watch X的研究报告,报告中表示,该设备遍布“令人不安的”隐私和安全漏洞。
该智能手表(50美米)于2018年6月推出市场,最初因其设计、功能和续航方面的良好表现而备受好评。但在发布几个月后,该手表就因其自身安全性而广受批评。
Checkmarx在周二发布的一份报告(https://threatpost.com/lenovo-watch-x-riddled-with-security-vulnerabilities/141822/)中表示,安全研究人员David Sopas描述了这款手表一系列的缺陷,并在最后表示这个手表会将他的位置信息发送到中国的一个“未知服务器”,这严重侵犯了他的隐私。
联想随后表示,Checkmarx文章中列出的所有漏洞“将于本周完成修复”。
而文章所提及的一个漏洞会通过经度和纬度精确定位了手机位置,并将位置数据通过未加密的通信信道发送到中国的联想总部。而与此相对的,另一个被发现的漏洞可能被用来进行中间人攻击。研究人员表示:“移动app和服务器之间发送的通信并没有加密,任何人都可以进行嗅探。”
其他漏洞还包括帐户接管漏洞。他表示:“由于缺少帐户权限验证,任何知道用户ID的人,都可更改帐户密码。”
在蓝牙方面,也有三个漏洞:有时使用者手部活动会让手表进入配对模式,并且永不超时。另一个漏洞可使攻击者向手表发送一个特定的命令来设置多个闹钟,每分钟就可执行一次。最后一个蓝牙写入权限漏洞可让攻击者伪造来电警告。
Sopas强调,联想Watch X的app下载量超过50000次。
而联想表示,这只手表从未在美国市场销售。尽管它有英文版的应用,而且美国的一些在线零售商也在销售这款手表。
“Watch X专为中国市场设计,仅限联想在中国的销售。我们的安全团队正在与手表的海外开发部加紧合作,争取尽快解决研究人员发现的安全漏洞,所有修复工作预计本周完成。”
Checkmarx于2018年10月就向联想披露了这些漏洞。几周后联想确认漏洞存在。今年1月,联想表示马上将发布修复方案。
智能手表已不是之一次曝出严重安全问题。上个月,手表制造商Gator的儿童手表曝出信息泄露漏洞,影响35000名儿童和20000个个人帐户。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://threatpost.com/lenovo-watch-x-riddled-with-security-vulnerabilities/141822/
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA- *** 空间安全搜索引擎、FOEYE- *** 空间检索系统、NOSEC-安全讯息平台。
为您提供: *** 空间测绘、企业资产收集、企业威胁情报、应急响应服务。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。