Смарт-часы Lenovo Watch X отправляют данные на «неизвестный» сервер в Китае

image

Теги: Lenovo Watch X, уязвимости, Интернет вещей

Многочисленные уязвимости в Lenovo Watch X угрожают безопасности владельцев.

Бюджетные «умные» часы Watch X производства компании Lenovo подверглись критике из-за уязвимостей, представляющих угрозу безопасности и конфидинциальности пользователей. Эксперт компании Checkmarx Дэвид Сопас (David Sopas) выявил ряд уязвимостей, которые могут подвергать пользователей Lenovo Watch X опасности.

Согласно отчету , один баг в часах данной модели был связан с отправкой данных о местоположении пользователя через незашифрованный канал связи на «неизвестный» сервер в Китае. Другая обнаруженная ошибка позволяла провести атаку «человек посередине» с целью перехвата трафика между мобильным приложением и web-сервером.

Третья уязвимость могла привести к взлому учетных записей владельцев «умных» часов.

«Из-за отсутствия проверки учетной записи и разрешений появлялась возможность принудительной смены пароля для любого пользователя. Любой, знающий идентификатор пользователя, может изменить пароль и, следовательно, взломать удаленную учетную запись», - добавил Сопас.

Три ошибки имели отношение к Bluetooth. Первая уязвимость заключалась в возможности перевода часов в режим беспрерывного сопряжения с помощью движения руки. Вторая ошибка позволяла атакующему отправить специальную команду для установки будильника на часах. Третий баг предоставлял возможность подделывать оповещения о входящих вызовах на часы.

В октябре 2018 года Checkmarx уведомила компанию Lenovo об уязвимостях в часах Watch X. Представители компании признали наличие уязвимостей спустя несколько недель и в январе 2019 года Lenovo сообщила об исправлении проблем.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.