Bild: Christopher Bleckmann-Dreher
×
gps-watches-pwned.jpg
En tyska säkerhetsforskare har tryckt ordet “PWNED!” på att spåra kartor av hundratals GPS-klockor efter klockan säljaren ignoreras sårbarhet rapporter för mer än ett år lämnar tusentals av GPS-spårning klockor-som används av barn och äldre– öppen för angripare.
Även: Online-säkerhet 101: Tips för att skydda din integritet
Tal vid Troopers 2019 säkerhet konferens som hölls i Heidelberg, Tyskland, i slutet av Mars, säkerhet forskaren Christopher Bleckmann-Dreher fram en rad sårbarheter som påverkar över 20 modeller av GPS-klockor tillverkas av Österrikiska företaget Vidimensio.
Titta på modeller som alla har ett gemensamt gränssnitt API, som fungerar som en mellanhand och lagring punkt mellan GPS-klockor och tillhörande applikationer för mobiltelefoner.
Bild: Christopher Bleckmann-Dreher
×
gps-klockor-infrastruktur.png
Tillbaka i December 2017, Dreher upptäckt brister i den mekanism genom vilken GPS-klocka kommunicera med denna backend API-server.
Hans forskare började efter att tyska myndigheter förbjudit försäljning barn smartwatches med fjärrkontroll-lyssna kapacitet-att gå så långt som att berätta för föräldrar att förstöra dessa typer av klockor– efter många märken som fanns att köra på utsatta firmware.
Konsekvent med varningen från tyska myndigheterna, Dreher hittat säkerhetsluckor som skulle ha tillåtit hot aktörer för att avlyssna och spåra användare som bär Vidimensio Paladin GPS-klockor, men också att ändra de data som lagras på API-servern och fråga olika kommandon för att användarna’ klockor.
Titta säljaren underrättas om säkerhetsbrister i slutet av 2017
Forskaren sa att han anmält Vidimensio av hans slutsatser i slutet av December 2017, men bolaget hade underlåtit att vidta några åtgärder efter sin första rapport.
Eftersom de flesta av dessa klockor var populär i Tyskland och Österrike, Dreher jobbade på den tiden med tyska IT-nyheter publicering Heise.de rapportera säkerhetsbrister till tillverkaren, som under offentligt tryck, utgivna korrigeringar i April 2018.
Men i en intervju med ZDNet idag, Dreher sade dessa patchar bara upp avlyssning hot, men inte den andra säkerhetsbrister.
“I 03/2018 säljaren bort avlyssna/övervaka kommando från sin backend,” Dreher berättade ZDNet. “Numera övervaka läget kan aktiveras genom att skicka ett SMS direkt till klockor, [men titta på SIM -] mobilnummer måste vara känd.”
“SMS-kommandot är mörklagda hamnen i provningsrapporten av den Federala Nätverk Byrån i Tyskland (BNetzA), se sidan 54 i min bild däck.”
Andra brister förblev unpatched –inklusive möjlighet att ändra data på API-servern och skicka kommandon till användare’ klockor.
Dessutom, i hans Troopers presentation (se video nedan) forskaren sade att de brister han fann inledningsvis i Paladin modell påverkade också över 20 andra modeller från samma leverantör.
Dreher nya rön som antalet utsatta Vidimensio GPS-klockor ökade tio gånger sedan December 2017, trots varning från tyska myndigheterna att förstöra och sluta använda barn smartwatches med påträngande spårning och avlyssning kapacitet.
Enligt forskaren, har antalet ökat från cirka 700 till 7 000, varav 3000 har varit aktiva under den senaste månaden.
Över 300+ klockor har varit PWNED!
För att öka medvetenheten för dessa fortfarande ouppdaterad enheter, Dreher berättade ZDNet att han har nu vänt sig till en okonventionell strategi. Forskaren har använt en av de säkerhetsbrister som han upptäckte att infoga falska GPS-koordinater i människors läge historia.
De forskare som utformade dessa falska GPS-koordinater för att se ut ordet “PWNED!” när de visas på läget historia avsnitt karta –visas i den mobila appar och klockor ” web instrumentpanelen.
“Jag satt falska GPS-koordinater i klockor (ca 300) som inte har varit online sedan början av 2018,” forskaren berättade ZDNet. “Jag antar att dessa klockor har förstörts av sina ägare som BNetzA anges i sitt förbud varsel.”
“Jag kan göra det i stor skala, så illa hacktivists skulle också kunna göra det,” och forskare.
Hela utnyttja kedja, som han beskrev i sin Troopers prata, förlitar sig på att förändra en enkel parameter, och in i ett annat användar-ID som är sekventiell och börja om från 0 och gå upp till nummer som tilldelas till senaste registrerad användare (för närvarande cirka 7 000).
Bild: Christopher Bleckmann-Dreher
×
gps-klockor-parameter.png
Dreher berättade ZDNet att han kontaktade BNetzA –den tyska federala myndigheten som utfärdat förbudet-och-förstöra meddelande om barn smartwatches 2017– söker hjälp i att tvinga säljaren att lappa sina säkerhetsbrister, men myndigheten vägrade att hjälpa till, med hänvisning till sin senaste förbud mot varsel som sin brist på handling.
Vidimensio inte svara på en kontakt begäran om ytterligare uppgifter som görs via bolagets hemsida.
Även försäljning av barn smartwatches har varit förbjudet i Tyskland, det är ganska tydligt att förbudet har inte genomförts av myndigheter, och att användarna har fortsatt att köpa sådan utrustning för sig själva, barn eller äldre–ignorera eventuella säkerhetsrisker.
Men tidvattnet håller på att förändras i avseende på it-säkerhet och integritet-relaterade frågor på EU-nivå. I februari 2019, EU: s myndigheter har utfärdat första produkt över säkerhetsfrågor. Inte en slump, det var för ett barn smartwatch som tillverkas och säljs i framför allt Tyskland.
Dreher Troopers 2019 presentation innehåller följande lista över Vidimensio GPS-klocka modeller som anses vara utsatta.
Bild: Christopher Bleckmann-Dreher
×
gps-klockor-utsatta.png
Mer cybersäkerhet täckning:
Franska bensinstationer rånad efter att glömma att ändra gas pump Stift
Forskarna publicerar lista med MAC-adresser riktade i ASUS hackNorth koreanska hackare fortsätter attacker på cryptocurrency businessesTop mörka webben marknaden kommer att stängas av nästa månad
Rapporten bedömer att Ryssland en pionjär i GPS-spoofing attacksOver 13K iSCSI-lagring kluster vänster utsatt online utan en passwordWe inbjudna professionella hackare att attackera oss CNET
Topp 10 alternativ till Apples Titta på TechRepublic
Relaterade Ämnen:
Sakernas Internet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter