一名德国安全研究人员印了这个词“PWNED!”在数百只GPS手表上进行验证,以证明API损坏。
Christopher Bleckmann-Dreher发现了奥地利GPS手表制造商Vidimensio使用的API中的一个漏洞。
该公司’从老年人到儿童,广泛使用s手表,并影响了20多个型号。
德雷尔(Dreher)向维迪门西奥(Vidimensio)提醒了这个问题,但一年多以来一直被忽略。考虑到错误操作可能带来更大的风险,Dreher决定证明一点,就是不要轻易解决此类漏洞–相对无害– manner.
所有受影响的模型都共享相同的后端API,该API旨在用作关联的移动软件和手表之间的中介和存储点。德雷尔(Dreher)破坏了此API,将消息写入其设备的GPS地图上。
早在2017年,德国当局就禁止将智能手表出售给未成年人,声称它们可以用作听觉设备。这提示德雷尔’s work.
与当局一致’警告,Dreher发现Vidimensio Paladin手表的用户可能被窃听甚至被追踪。尽管有警告,但受影响的手表数量已从700只增加到7000只左右。
该漏洞需要更改参数并输入其他用户’的ID。这些数字是连续的,因此为什么Dreher知道当前大约有7000个注册用户。
德雷尔展示了为什么'对于检查所有API是否安全至关重要。您想要的最后一件事是黑客在跟踪,监听或发送消息方面比“PWNED!” to your users.
你可以看德雷尔’在以下Troopers 2019安全会议上的演讲:
有兴趣听行业领导者讨论这样的话题并分享他们的经验吗? 参加 网络安全&世界云博览会 即将在硅谷,伦敦和阿姆斯特丹举行的活动,以了解更多信息。
