Immagine: Christopher Bleckmann-Dreher
×
gps-watches-pwned.jpg
Un tedesco ricercatore di sicurezza ha stampato la parola “PWNED!” sul tracking mappe di centinaia di orologi GPS dopo l’orologio fornitore ignorato vulnerabilità rapporti per più di un anno, lasciando migliaia di GPS tracking, orologi, alcuni dei quali sono utilizzati da bambini e anziani-aperto agli aggressori.
Anche: Online sicurezza 101: Consigli per proteggere la tua privacy
Parlando al Troopers 2019 security conference che si è tenuta a Heidelberg, in Germania, alla fine di Marzo, il ricercatore di sicurezza Christopher Bleckmann-Dreher ha presentato una serie di vulnerabilità che colpiscono più di 20 modelli di GPS orologi prodotti dalla società Austriaca Vidimensio.
I modelli di orologi con un comune backend API, che agisce come un intermediario, un punto di storage tra GPS orologi e associati mobile.
Immagine: Christopher Bleckmann-Dreher
×
gps-orologi-infrastrutture.png
Nel dicembre 2017, Dreher scoperto i difetti del meccanismo attraverso il quale gli orologi GPS di comunicare con questo backend server API.
Il suo ricercatore, ha cominciato dopo che le autorità tedesche, ha vietato la vendita dei bambini smartwatches con telecomando-capacità di ascolto –andare a raccontare ai genitori di distruggere questi tipi di orologi– dopo molte marche sono stati trovati per eseguire vulnerabili firmware.
Coerente con l’avvertimento da parte delle autorità tedesche, Dreher trovare falle di sicurezza, che avrebbe consentito minaccia attori di intercettare e di tenere traccia degli utenti che indossa Vidimensio Paladino orologi GPS, ma anche di modificare i dati memorizzati sul server API e l’emissione di vari comandi per gli utenti di orologi.
Guarda fornitore di notifica delle falle di sicurezza a fine 2017
Il ricercatore ha detto di notifica Vidimensio dei suoi risultati a fine dicembre 2017, ma l’azienda aveva omesso di prendere qualsiasi azione che segue il suo rapporto iniziale.
Poiché la maggior parte di questi orologi erano popolari in Austria e in Germania, Dreher ha lavorato al tempo con il tedesco NON pubblicazione di notizie Heise.de per segnalare le falle di sicurezza del produttore, che, sotto la pressione del pubblico, gli aggiornamenti rilasciati nel mese di aprile 2018.
Ma in un’intervista a ZDNet oggi, Dreher ha detto queste patch si rivolge solo le intercettazioni minaccia, ma non le altre falle di sicurezza.
“In 03/2018 il venditore rimosso il origliare/monitor di comando dal suo backend,” Dreher detto a ZDNet. “Oggi le modalità di monitoraggio può essere attivata inviando un SMS direttamente con l’orologio, ma l’orologio SIM] numero di cellulare deve essere conosciuto.”
“Il comando di SMS è il oscurati porta nel test report dell’Agenzia Federale delle reti di Germania (BNetzA), vedere pagina 54 nel mio slide.”
Gli altri difetti sono rimasti senza patch –tra cui la possibilità di modificare i dati sul server API e l’invio di comandi per gli utenti di orologi.
Inoltre, nella sua Troopers presentazione (vedi video qui sotto), il ricercatore ha detto che i difetti inizialmente ha trovato in Paladino modello inciso anche più di 20 altri modelli dello stesso produttore.
Dreher nuovo allarme arriva come il numero vulnerabili Vidimensio GPS orologi è cresciuto di dieci volte dal dicembre del 2017, nonostante l’avvertimento da parte delle autorità tedesche di distruggere e di smettere di usare i bambini smartwatches parassitario di monitoraggio e di capacità di intercettazione.
Secondo il ricercatore, il numero è cresciuto da circa 700 a 7.000, di cui 3.000 sono stati attivi nell’ultimo mese.
Oltre 300+ orologi sono stati PWNED!
Per aumentare la consapevolezza di questi ancora senza patch dispositivi, Dreher detto a ZDNet che ha trasformato per una strategia non convenzionale. Il ricercatore ha utilizzato una delle falle di sicurezza ha scoperto di inserire falso coordinate GPS nella posizione di storia.
Il ricercatore ha progettato questi falsi coordinate GPS a guardare come la parola “PWNED!” quando viene visualizzato il percorso di storia sezione mappa –visualizzato all’interno del mobile e gli orologi’ pannello di controllo del web.
“Ho inserito falso, le coordinate GPS orologi (circa 300) che non è stato in linea dall’inizio del 2018”, il ricercatore ha detto di ZDNet. “Presumo che questi orologi sono stati distrutti dai loro proprietari come BNetzA indicata nel bando di preavviso.”
“Posso farlo in scala, così male hacker potrebbe anche farlo,” il ricercatore ha detto.
L’intero sfruttare a catena, che ha descritto nel suo Troopers parlare, si basa sulla modifica di un parametro semplice, e entrare in un altro ID utente –sequenziali e iniziare da 0 e andare fino a il numero assegnato l’ultimo utente registrato (attualmente circa 7.000).
Immagine: Christopher Bleckmann-Dreher
×
gps-orologi-parametro.png
Dreher detto a ZDNet che ha contattato BNetzA –l’agenzia federale tedesca che ha emesso il divieto-e-distruggere avviso sui bambini smartwatches nel 2017– in cerca di aiuto nell’obbligare il venditore a patch le sue falle di sicurezza, ma l’agenzia ha rifiutato di aiutare, citando la sua recente divieto di notare come la sua mancanza di azione.
Vidimensio non ha risposto a una richiesta di contatto per ulteriori dettagli effettuata attraverso il sito web della società.
Mentre la vendita di bambini smartwatches è stato vietato in Germania, è abbastanza chiaro che il divieto non è stato imposto dalle autorità, e che gli utenti hanno continuato ad acquistare tali dispositivi per se stessi, i bambini, o anziani–ignorando i possibili rischi per la sicurezza.
Ma la marea sta cambiando in materia di sicurezza informatica e di questioni relative alla privacy a livello UE. Nel febbraio del 2019, l’unione europea ha emesso il primo richiamo del prodotto su aspetti di sicurezza dei dati. Non a caso, è stato per i bambini smartwatch prodotti e venduti principalmente in Germania.
Dreher Troopers 2019 presentazione include la seguente lista di Vidimensio GPS modelli di orologi che sono ritenuti vulnerabili.
Immagine: Christopher Bleckmann-Dreher
×
gps-orologi-vulnerabili.png
Più sicurezza informatica copertura:
Francese stazioni di gas derubato dopo dimenticando di cambiare pompa a gas Piedini
I ricercatori a pubblicare elenco di indirizzi MAC mirati in ASUS hackNorth coreano gli hacker continuano gli attacchi su cryptocurrency businessesTop scuro web marketplace, sarà chiuso il mese prossimo
Report ritiene Russia un pioniere nel GPS spoofing attacksOver 13K iSCSI storage cluster sinistra esposti online senza passwordWe invitati professionale hacker per attaccare noi CNET
La top 10 alternative alla Apple Watch TechRepublic
Argomenti Correlati:
Internet delle Cose
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati