Laut Forscher sagt Lenovo Watch X, dass es sich um Sicherheitslücken handelt – TechCrunch


Die Watch X von Lenovo wurde weithin als "absolut schrecklich" eingestuft. Wie sich herausstellte, war dies auch die Sicherheit.

Die Low-End-Smartwatch im Wert von 50 US-Dollar war eine der billigsten Smartwatches von Lenovo. Nur für den chinesischen Markt verfügbar, muss jeder, der eine haben möchte, diese direkt vom Festland kaufen. Glücklich für Erez Yalon, Leiter der Sicherheitsforschung bei Checkmarx, einem Unternehmen für Anwendungssicherheitstests, erhielt er eines von einem Freund. Es dauerte jedoch nicht lange, bis er mehrere Schwachstellen gefunden hatte, die es ihm ermöglichten, die Passwörter der Benutzer, die Entführung von Konten zu ändern und Telefonanrufe zu fälschen.

Da die Smartwatch keine Verschlüsselung verwendete, um Daten von der App an den Server zu senden, sagte Yalon, er könne seine registrierte E-Mail-Adresse und sein Passwort im Klartext sowie Daten über die Verwendung der Uhr sehen wie viele Schritte machte er.

"Die gesamte API war unverschlüsselt", sagte Yalon in einer E-Mail an TechCrunch. "Alle Daten wurden im Klartext übertragen."

Die API, die die Uhr mit Strom versorgt, konnte leicht missbraucht werden, stellte er fest. Dadurch konnte er das Kennwort jedes Benutzers zurücksetzen, indem er einfach den Benutzernamen einer Person kannte. Das könnte ihm Zugriff auf das Konto eines anderen geben, sagte er.

Darüber hinaus stellte er fest, dass die Uhr seine genaue Geolocation mit einem Server in China teilt. In Anbetracht der Exklusivität der Uhr für China ist es für Einheimische möglicherweise keine rote Flagge. Yalon sagte jedoch, die Uhr habe "bereits meinen Standort gefunden", bevor er überhaupt sein Konto registriert hatte.

Yalons Forschung beschränkte sich nicht nur auf die undichte API. Er fand heraus, dass die Bluetooth-fähige Smartwatch auch aus der Nähe manipuliert werden kann, indem er hergestellte Bluetooth-Anfragen sendet. Mit einem kleinen Skript demonstrierte er, wie einfach es ist, einen Anruf auf der Uhr zu fälschen.

Mit einem ähnlichen böswilligen Bluetooth-Befehl konnte er den Alarm auch so einstellen, dass er immer wieder ausgelöst wird. "Die Funktion ermöglicht das Hinzufügen mehrerer Alarme, und zwar jede Minute", sagte er.

Lenovo hatte nicht viel zu den Sicherheitsanfälligkeiten zu sagen, außer

"Die Watch X wurde für den chinesischen Markt entwickelt und ist nur von Lenovo für begrenzte Vertriebskanäle in China erhältlich", sagte der Sprecher Andrew Barron. "Unsere [security team] Team hat mit der gearbeitet [original device manufacturer] Auf diese Weise können die von einem Forscher identifizierten Schwachstellen behoben werden, und alle Korrekturen sollen diese Woche abgeschlossen sein. “

Yalon sagte, dass die Verschlüsselung des Datenverkehrs zwischen der Uhr, der Android-App und ihrem Webserver das Schnüffeln verhindern und die Manipulation reduzieren würde.

"Durch das Festlegen der API-Berechtigungen werden böswillige Benutzer nicht mehr in der Lage, Befehle an die Uhr zu senden, Anrufe zu fälschen und Alarme einzustellen", sagte er.