Afbeelding: Christopher Bleckmann-Dreher
×
gps-watches-pwned.jpg
Een duitse security-onderzoeker heeft gedrukt het woord “PWNED!” op het tracking-kaarten van honderden GPS-horloges nadat het horloge verkoper genegeerd beveiligingsprobleem rapporten voor meer dan een jaar, waardoor duizenden GPS-tracking-horloges-sommige van die worden gebruikt door kinderen en ouderen– open voor aanvallers.
Spreken op de Troopers 2019 security conference die gehouden werd in Heidelberg, Duitsland, aan het einde van Maart, security-onderzoeker Christopher Bleckmann-Dreher een serie van kwetsbaarheden van invloed zijn meer dan 20 modellen van GPS-horloges vervaardigd door het Oostenrijkse bedrijf Vidimensio.
Het horloge modellen delen een gemeenschappelijke backend API, die werkt als een tussenpersoon en opslag tussen de GPS-horloges en de bijbehorende mobiele apps.
Afbeelding: Christopher Bleckmann-Dreher
×
gps-horloges-infrastructuur.png
Terug in December 2017, Dreher ontdekte fouten in het mechanisme waardoor de GPS-horloges communiceren met deze backend API-server.
Zijn onderzoeker begon nadat de duitse autoriteiten een verbod op de verkoop van kinderen smartwatches met afstandsbediening-luisteren mogelijkheden –ga zo ver als het vertellen van ouders te vernietigen deze types van horloges– na vele merken werden gevonden te voeren op kwetsbare firmware.
In overeenstemming met de waarschuwing van de duitse autoriteiten, Dreher gevonden beveiligingslekken dat zou hebben toegestaan dat dreigingen af te luisteren en gebruikers te traceren dragen Vidimensio Paladin GPS-horloges, maar ook verandering van de gegevens die zijn opgeslagen op de API-server en de afgifte van diverse commando ‘ s van gebruikers horloges.
Bekijk de leverancier van de hoogte gesteld van beveiligingsfouten in eind 2017
De onderzoeker zei hij aangemelde Vidimensio van zijn bevindingen aan het einde van December 2017, maar de onderneming had verzuimd maatregelen te nemen na zijn eerste rapport.
Aangezien de meeste van deze horloges werden populair in Oostenrijk en Duitsland, Dreher werkte in de tijd met de duitse IT-nieuws publicatie Heise.de om het verslag van de veiligheidsproblemen van de fabrikant, die onder druk van de publieke opinie, uitgegeven correcties in April 2018.
Maar in een interview met ZDNet vandaag, Dreher zei deze patches alleen gericht op het afluisteren bedreiging, maar niet de andere veiligheidsproblemen.
“In 03/2018 de verkoper verwijderd van de af te luisteren/monitoren opdracht van zijn backend,” Dreher vertelde ZDNet. “Tegenwoordig monitor modus kan worden geactiveerd door het sturen van een SMS direct naar de kijken, maar het kijken naar de SIM -] mobiele nummer bekend moet zijn.”
“De SMS opdracht is de black-out poort in het test rapport van het Federale Netwerk Agentschap van Duitsland (Bundesnetzagentur), zie pagina 54 in mijn schuif dek.”
De andere gebreken bleven niet gecorrigeerde –inclusief de mogelijkheid om de verandering van de gegevens op de API-server en stuurt commando ‘ s van gebruikers horloges.
Bovendien, in zijn Troopers presentatie (zie video hieronder) de onderzoeker zei dat de gebreken die hij in eerste instantie gevonden in de Paladin model ook beïnvloed meer dan 20 andere modellen van dezelfde fabrikant.
Dreher nieuwe waarschuwing komt als het aantal kwetsbare Vidimensio GPS-horloges groeide tien keer sinds December 2017, ondanks de waarschuwing van de duitse autoriteiten te vernietigen en te stoppen met het gebruik van kinderen smartwatches met opdringerige volgen en afluisteren mogelijkheden.
Volgens de onderzoeker, het aantal is gegroeid van 700 tot 7000, waarvan 3.000 in actief zijn geweest in de afgelopen maand.
Meer dan 300+ horloges zijn PWNED!
Om het bewustzijn om deze nog-niet-gepatchte apparaten, Dreher vertelde ZDNet dat hij is nu omgezet naar een onconventionele strategie. De onderzoeker heeft met een van de veiligheid van gebreken die hij ontdekte in te voegen nep GPS-coördinaten in de mensen, de locatie van de geschiedenis.
De onderzoeker ontwierp deze nep GPS-coördinaten om te kijken als het woord “PWNED!” wanneer deze wordt weergegeven op de locatie sectie geschiedenis kaart weergegeven in de mobiele apps en de horloges’ web dashboard.
“Ik geplaatst nep GPS-coördinaten in horloges (ongeveer 300) die niet online geweest sinds het begin van 2018,” de onderzoeker vertelde ZDNet. “Ik neem aan dat deze horloges zijn vernietigd door hun eigenaren als de Bundesnetzagentur, vermeld in hun ban merken.”
“Ik kan het doen op schaal, zo slecht hacktivisten zou het ook doen,” de onderzoeker zei.
De hele exploiteren keten, die hij heeft beschreven in zijn Troopers praten, is gebaseerd op het veranderen van een eenvoudige parameter, en het invoeren van een andere gebruiker-ID, die sequentieel en beginnen bij 0 en ga naar het nummer dat is toegewezen aan de nieuwste geregistreerde gebruiker (momenteel rond de 7.000).
Afbeelding: Christopher Bleckmann-Dreher
×
gps-horloges-parameter.png
Dreher vertelde ZDNet dat hij contact opgenomen met Bundesnetzagentur –de duitse federale agentschap die de ban-en-vernietig merkt op kinderen smartwatches in 2017– op zoek naar hulp bij het forceren van de leverancier van de patch zijn veiligheidsproblemen, maar het bureau weigerde te helpen, vanwege de recente verbod merken als een gebrek aan actie.
Vidimensio niet reageren op een verzoek contact voor meer informatie via de website van de vennootschap.
Terwijl de verkoop van kinderen smartwatches is verboden in Duitsland, het is vrij duidelijk dat het verbod niet is afgedwongen door de overheid, en dat gebruikers blijven om dergelijke apparaten te kopen voor zichzelf, kinderen of ouderen–het negeren van de mogelijke veiligheidsrisico ‘ s.
Maar het tij is aan het veranderen met betrekking tot cyber-security-en privacy-gerelateerde onderwerpen op EU-niveau. In februari 2019, EU-autoriteiten uitgegeven de eerste ‘product recall’ over de beveiliging van de gegevens van problemen. Niet toevallig, het was voor de kinderen een smartwatch geproduceerd en verkocht, vooral in Duitsland.
Dreher Troopers 2019 presentatie bevat de volgende lijst van Vidimensio GPS-horloge modellen, dat worden aangemerkt als kwetsbaar.
Afbeelding: Christopher Bleckmann-Dreher
×
gps-horloges-kwetsbaar.png
Meer cybersecurity dekking:
Franse benzinestations beroofd na het vergeten te veranderen gas pomp Pinnen
De onderzoekers publiceren lijst van MAC-adressen die bij de ASUS hackNorth-koreaanse hackers gaan aanvallen op cryptocurrency businessesTop donkere web marketplace wordt afgesloten volgende maand
Verslag acht Rusland, een pionier in het GPS-spoofing attacksOver 13K-iSCSI-opslag clusters blootgesteld online zonder een passwordWe uitgenodigd professionele hackers om ons aan te vallen CNET
De top 10 alternatieven voor de Apple Horloge TechRepublic
Verwante Onderwerpen:
Het Internet van Dingen
Beveiliging TV
Data Management
CXO
Datacenters