Billede: Christopher Bleckmann-Dreher
×
gps-watches-pwned.jpg
En tysk sikkerheds-forsker har trykt ordet “PWNED!” på tracking kort over hundredvis af GPS-ure efter watch sælger ignoreret sårbarhed rapporter for mere end et år, hvor tusindvis af GPS-tracking ure –hvoraf nogle er brugt af børn og ældre– åbne for angribere.
Også: Online-sikkerhed 101: Tips til at beskytte dit privatliv
Tale ved Troopers 2019 sikkerhed konferencen, der blev afholdt i Heidelberg, Tyskland, i slutningen af Marts, sikkerhedsekspert Christopher Bleckmann-Dreher præsenteret en række sårbarheder, der påvirker over 20 modeller af GPS-ure fremstillet af det Østrigske selskab Vidimensio.
Uret modeller, der alle deler en fælles backend-API, som virker som en formidler og storage punkt mellem GPS-ure og tilhørende mobile apps.
Billede: Christopher Bleckmann-Dreher
×
gps-ure-infrastruktur.png
Tilbage i December 2017, Dreher opdaget fejl i den mekanisme, gennem hvilken GPS ure kommunikere med denne backend API server.
Hans forsker, der begyndte efter den tyske myndigheder har forbudt salg børns smartwatches med fjernbetjening-lytte kapaciteter-at gå så langt som at fortælle forældre til at ødelægge disse typer af ure– efter mange mærker blev fundet til at køre på sårbare firmware.
I overensstemmelse med den advarsel fra tyske myndigheder, Dreher fundet sikkerhedshuller, der ville have tilladt trussel aktører til at aflytte og spore brugere iført Vidimensio Paladin GPS-ure, men også ændre data, der er gemt på API server, og spørgsmålet forskellige kommandoer til brugere ure.
Se sælger anmeldt af sikkerhedshuller i slutningen af 2017
Forskeren sagde, at han meddelt Vidimensio af hans resultater i slutningen af December 2017, men selskabet havde undladt at træffe enhver foranstaltning, som efter sin første rapport.
Da de fleste af disse ure blev populær i Tyskland og Østrig, Dreher arbejdede på det tidspunkt med tyske IT-nyheder offentliggørelse Heise.de for at rapportere de sikkerhedshuller, at den producent, der, under pres fra offentligheden, og som er udstedt rettelser i April 2018.
Men i et interview med ZDNet i dag, Dreher sagde disse patches kun rettet aflytning trussel, men ikke de andre sikkerhedshuller.
“I 03/2018 sælger fjernet aflytte/monitor kommando fra sin backend,” Dreher fortalte ZDNet. “I dag overvåge tilstanden kan aktiveres ved at sende en SMS direkte til ur, men uret er SIM -] mobilnummer skal være kendt.”
“SMS-kommando er mørklagt port i prøvningsrapporten af den Føderale Agentur Netværk af Tyskland (BNetzA), se side 54 i min slide dæk.”
Den anden fejl forblev uændrede-herunder evnen til at ændre data på API server og sende kommandoer til brugere ure.
Desuden, i hans Kavalerister præsentation (se video nedenfor) forskeren sagde, at de fejl, som han i første omgang fundet i Paladin model også påvirket over 20 andre modeller fra samme leverandør.
Dreher ‘ s nye advarsel kommer som nummer sårbare Vidimensio GPS-ure voksede ti gange siden December 2017, trods advarsel fra de tyske myndigheder for at ødelægge og stoppe med at bruge børn smartwatches med indgribende sporing og aflytning kapaciteter.
Ifølge forskeren, at antallet er vokset fra omkring 700 til 7.000, hvoraf 3.000 har været aktive inden for den seneste måned.
Over 300+ ure er blevet PWNED!
For at øge kendskabet til disse stadig-unpatched enheder, Dreher fortalte ZDNet, at han nu er vendt til en utraditionel strategi. Den forsker, der har brugt en af de sikkerhedshuller, opdagede han, at indsætte falske GPS-koordinater, i folks placering historie.
Den forsker, der er designet disse falske GPS-koordinater til at ligne ordet “PWNED!”, når de vises på den placering, historie, afsnit kort –indersiden af mobile apps og ure’ web-dashboard.
“Jeg indsat falske GPS-koordinater, i ure (300) der har ikke været online siden begyndelsen af 2018,” forskeren fortalte ZDNet. “Jeg antager, disse ure er blevet ødelagt af deres ejere, som BNetzA anført i deres forbud varsel.”
“Jeg kan gøre det på en skala, så slemt hacktivists kan også gøre det,” forskeren sagde.
Hele udnytte kæde, som han er beskrevet i hans Kavalerister tale, er afhængig af at ændre en enkelt parameter, og ind i en anden brugers ID –som er sekventiel og starte fra 0 og gå op til det nummer, der er tildelt til den nyeste registrede brugere (i øjeblikket omkring 7.000).
Billede: Christopher Bleckmann-Dreher
×
gps-ure-parameter.png
Dreher fortalte ZDNet, at han kontaktede BNetzA –den tyske føderale agentur, der har udstedt et forbud-og-tilintetgør-meddelelse om børn smartwatches i 2017– søger hjælp i hvilket tvinger sælgeren til at lappe sine sikkerhedshuller, men agenturet afviser at hjælpe, med henvisning til sin nylige forbud mærke som sin mangel på handling.
Vidimensio ikke svare til en kontakt anmodning om yderligere oplysninger lavet via selskabets hjemmeside.
Mens salg af børns smartwatches er blevet forbudt i Tyskland, det er temmelig klart, at forbuddet har ikke været håndhævet af myndighederne, og at brugerne har fortsat med at købe disse enheder til sig selv, børn eller ældre–ignorerer de mulige sikkerhedsrisici.
Men tidevandet ændrer sig i forhold til cyber-sikkerhed og privacy-relaterede spørgsmål på EU-niveau. I februar 2019, EU-myndigheder, der er udstedt den første nogensinde, tilbagekaldelse af produkter over data sikkerhedsspørgsmål. Ikke tilfældigt, at det blev til en kids smartwatch, der fremstilles og sælges primært i Tyskland.
Dreher Troopers 2019 præsentation indeholder følgende liste af Vidimensio GPS-ur modeller, der betragtes som sårbare.
Billede: Christopher Bleckmann-Dreher
×
gps-ure-udsatte.png
Mere cybersecurity dækning:
Franske tankstationer røvet efter at glemme at ændre gas pumpe PINs
Forskere offentliggør listen over MAC-adresser målrettet i ASUS hackNorth koreanske hackere angreb på cryptocurrency businessesTop dark web markedsplads vil lukke i næste måned
Rapporten skønner, at Rusland er en pioner inden for GPS-spoofing attacksOver 13K iSCSI-storage klynger venstre udsat online uden en passwordWe inviteret professionelle hackere til at angribe os CNET
Top 10-alternativer til Apple Ur TechRepublic
Relaterede Emner:
Tingenes Internet
Sikkerhed-TV
Data Management
CXO
Datacentre