Исследователь написал «PWNED!» на картах сотен GPS-часов

image

Теги: Интернет вещей, IoT, GPS, смарт-часы, уязвимость

Таким образом исследователь попытался привлечь внимание производителя к неисправленным уязвимостям в гаджетах.

Немецкий исследователь безопасности Кристофер Блекман-Дрехер (Christopher Bleckmann-Dreher) написал слово «PWNED!» на картах сотен GPS-часов, воспользовавшись обнаруженной им уязвимостью. Исследователь выявил проблемы с безопасностью в 20 моделях часов от австрийской компании Vidimensio более года назад и сообщил о них производителю. Поскольку Vidimensio упрямо игнорировала сообщения, он решился на радикальный шаг – взломать сотни часов.

В уязвимых устройствах используется популярный API, играющий роль посредника и хранилища между GPS-часами и сопутствующими мобильными приложениями. В декабре 2017 года Блекман-Дрехер обнаружил уязвимости в механизме, используемом для связи гаджетов с сервером API. С их помощью злоумышленники могли подслушивать разговоры владельцев часов Vidimensio Paladin и следить за ними. Более того, киберпреступники могли модифицировать данные на сервере API и отправлять на устройства различные команды.

По словам исследователя, он уведомил Vidimensio о проблемах в конце декабря 2017 года, однако производитель не предпринял никаких шагов по их исправлению. Тогда Блекман-Дрехер обратился за поддержкой к СМИ, и под общественным давлением компания выпустила патчи в апреле 2018 года. Тем не менее, по словам исследователя, они исправляют только уязвимость, позволяющую подслушивать разговоры, а другие проблемы так и остались нерешенными.

В частности остались неисправленными уязвимости, позволяющие отправлять на устройства различные команды и модифицировать данные на сервере API. В связи с этим исследователь решил привлечь внимание к проблеме и с помощью одной из уязвимостей подделал GPS-координаты таким образом, чтобы они составили слово «PWNED!». «Я могу проделать это в намного больших масштабах, а значит, злоумышленники тоже могут», – отметил исследователь.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.