El Watch X de Lenovo fue ampliamente criticado como “absolutamente terrible”. Como resultado, también lo fue su seguridad.
El reloj inteligente de gama baja de $ 50 era uno de los relojes inteligentes más baratos de Lenovo. Disponible solo para el mercado de China, cualquiera que quiera uno tiene que comprar uno directamente del continente. Por suerte para Erez Yalon, jefe de investigación de seguridad en Checkmarx, una empresa de pruebas de seguridad de aplicaciones, se le dio una de un amigo. Pero no le llevó mucho tiempo encontrar varias vulnerabilidades que le permitieran cambiar las contraseñas del usuario, secuestrar cuentas y falsificar llamadas telefónicas.
Debido a que el reloj inteligente no estaba usando ningún cifrado para enviar datos desde la aplicación al servidor, Yalon dijo que pudo ver su dirección de correo electrónico registrada y su contraseña en texto sin formato, así como datos sobre cómo estaba usando el reloj, como Cuantos pasos estaba dando.
“La API completa no estaba encriptada”, dijo Yalon en un correo electrónico a TechCrunch. “Todos los datos fueron transferidos en texto plano”.
Encontró que la API que ayuda a potenciar el reloj fue abusada fácilmente, lo que le permite restablecer la contraseña de cualquier persona simplemente al conocer el nombre de usuario de una persona. Eso podría haberle dado acceso a la cuenta de cualquiera, dijo.
No solo eso, descubrió que el reloj estaba compartiendo su geolocalización precisa con un servidor en China. Dada la exclusividad del reloj a China, puede que no sea una bandera roja para los nativos. Pero Yalon dijo que el reloj “ya había identificado mi ubicación” incluso antes de haber registrado su cuenta.
La investigación de Yalon no se limitó solo a la API con fugas. Encontró que el reloj inteligente habilitado para Bluetooth también podría ser manipulado desde un lugar cercano, enviando solicitudes de Bluetooth diseñadas. Usando un pequeño guión, demostró lo fácil que era simular una llamada telefónica en el reloj.
Usando un comando Bluetooth malicioso similar, también podría configurar la alarma para que se dispare una y otra vez. “La función permite agregar múltiples alarmas, con la frecuencia de cada minuto”, dijo.
Lenovo no tuvo mucho que decir sobre las vulnerabilidades, además de confirmar su existencia.
“El Watch X fue diseñado para el mercado de China y solo está disponible desde Lenovo para canales de venta limitados en China”, dijo el portavoz Andrew Barron. “Nuestro [security team] equipo ha estado trabajando con el [original device manufacturer] eso hace que el reloj aborde las vulnerabilidades identificadas por un investigador y todas las correcciones se completarán esta semana “.
Yalon dijo que el cifrado del tráfico entre el reloj, la aplicación de Android y su servidor web evitaría el espionaje y ayudaría a reducir la manipulación.
“Arreglar los permisos de la API elimina la capacidad de los usuarios malintencionados para enviar comandos al reloj, falsificar llamadas y configurar alarmas”, dijo.
Source link