A veces, los gadgets "más inteligentes" vienen con la seguridad de shoddiest.
Alan Monie, investigador de seguridad de la firma de ciberseguridad de Estados Unidos, Pen Test Partners, compró y probó un par de altavoces inalámbricos Chips 2.0, creados por Outdoor Tech, con sede en California, solo para descubrir que son una pesadilla de seguridad.
Los parlantes incorporados en el casco permiten a los usuarios escuchar música mientras viajan, hacer llamadas y hablar con sus amigos a través del walkie-talkie, todo sin tener que quitarse el casco. Los altavoces están conectados a una aplicación en su teléfono.
Probablemente esté pensando: ¿qué tan mala puede ser la seguridad en los altavoces de un casco de esquí lo suficientemente simple?
Según Monie, quien escribió sus hallazgos, es fácil obtener flujos de datos de la API del lado del servidor, que se utiliza para comunicarse con la aplicación, como nombres de usuario, direcciones de correo electrónico y números de teléfono de cualquier persona con una cuenta. Monie dijo que la API devolvió contraseñas codificadas, pero que los códigos de restablecimiento de la contraseña se enviaron en texto sin formato.
Peor aún, es posible revelar la geolocalización precisa de un usuario y escuchar las conversaciones de walkie-talkie en tiempo real de cualquiera.
Lo único peor que las fallas de seguridad es la falta de respuesta de la compañía cuando Monie se acercó para solucionar los problemas. Después de un breve intercambio de correos electrónicos durante varios días, la compañía dejó de responder, dijo.
"Realmente nos gusta el producto, pero su seguridad es muy deficiente", dijo Monie en su informe.
Es el último ejemplo de muchos en los que los fabricantes de dispositivos no se responsabilizan de la seguridad de su hardware o software. Dados estos días, muchos dispositivos se conectan a Internet, ya sea directamente oa través de una aplicación, cada empresa tenía que pensar como una empresa de seguridad.
Outdoor Tech no devolvió una solicitud de comentarios.
Source link