Lenovo Watch X var riddled med sikkerhed bugs, forsker siger – TechCrunch


Lenovos Watch X blev bredt anbragt som "helt forfærdeligt." Som det viser sig, var det også dets sikkerhed.

Den lave $ 50 smartwatch var en af ​​Lenovos billigste smartwatches. Kun tilgængelig for Kina-markedet, skal enhver, der ønsker en, købe en direkte fra fastlandet. Heldig for Erez Yalon, chef for sikkerhedsforskning hos Checkmarx, et ansøgningssikkerhedstestfirma, fik han en fra en ven. Men det tog ham ikke lang tid at finde flere sårbarheder, der gjorde det muligt for ham at ændre brugerens adgangskoder, kapre konti og telefonsamtaler.

Fordi smartwatch ikke brugte nogen kryptering til at sende data fra appen til serveren, sagde Yalon, at han var i stand til at se sin registrerede email-adresse og adgangskode sendt i almindelig tekst samt data om, hvordan han brugte uret, ligesom hvor mange skridt han tog

"Hele API'en blev ukrypteret," sagde Yalon i en email til TechCrunch. "Alle data blev overført i almindelig tekst."

API'en, der hjælper strømmen til uret, blev let misbrugt, han fandt det muligt for ham at nulstille alles adgangskode ved blot at kende en persons brugernavn. Det kunne have givet ham adgang til alles konto, sagde han.

Ikke kun det, han fandt ud af, at uret delte sin præcise geolokation med en server i Kina. I betragtning af urets eksklusivitet til Kina er det måske ikke et rødt flag til indfødte. Men Yalon sagde, at uret havde "allerede fastlagt min placering", før han selv havde registreret sin konto.

Yalons forskning var ikke kun begrænset til det lækre API. Han fandt ud af, at den Bluetooth-aktiverede smartwatch også kunne manipuleres fra nærliggende ved at sende udformede Bluetooth-anmodninger. Ved hjælp af et lille script viste han, hvor nemt det var at forfalske et telefonopkald på uret.

Ved hjælp af en lignende ondsindet Bluetooth-kommando, kunne han også indstille alarmen til at slukke – igen og igen. "Funktionen tillader tilføjelse af flere alarmer, så ofte som hvert minut," sagde han.

Lenovo havde ikke meget at sige om sårbarhederne, foruden at bekræfte deres eksistens.

"The Watch X var designet til Kina-markedet og er kun tilgængelig fra Lenovo til begrænsede salgskanaler i Kina," sagde talsmand Andrew Barron. "Vores [security team] team har arbejdet med [original device manufacturer] Det gør uret til at løse de sårbarheder, der er identificeret af en forsker, og alle rettelser skal udfyldes i denne uge. "

Yalon sagde, at kryptering af trafikken mellem uret, Android appen og dens webserver ville forhindre snooping og hjælpe med at reducere manipulation.

"Fastsættelse af API-tilladelserne eliminerer ondsindede brugeres mulighed for at sende kommandoer til uret, forfalskede opkald og indstille alarmer," sagde han.