PWNED:研究人员使用损坏的API在GPS手表上打印消息

PWNED:研究人员使用损坏的API在GPS手表上打印消息
科技类Forge媒体的编辑。在全球技术会议上经常看到一只手握着咖啡,另一只手握着笔记本电脑。如果它令人讨厌,我可能会喜欢上它。

一名德国安全研究人员印了这个词“PWNED!”在数百只GPS手表上进行验证,以证明API损坏。

Christopher Bleckmann-Dreher发现了奥地利GPS手表制造商Vidimensio使用的API中的一个漏洞。

该公司’从老年人到儿童,广泛使用s手表,并影响了20多个型号。

德雷尔(Dreher)向维迪门西奥(Vidimensio)提醒了这个问题,但一年多以来一直被忽略。考虑到错误操作可能带来更大的风险,Dreher决定证明一点,就是不要轻易解决此类漏洞–相对无害– manner.

所有受影响的模型都共享相同的后端API,该API旨在用作关联的移动软件和手表之间的中介和存储点。德雷尔(Dreher)破坏了此API,将消息写入其设备的GPS地图上。

早在2017年,德国当局就禁止将智能手表出售给未成年人,声称它们可以用作听觉设备。这提示德雷尔’s work.

与当局一致’警告,Dreher发现Vidimensio Paladin手表的用户可能被窃听甚至被追踪。尽管有警告,但受影响的手表数量已从700只增加到7000只左右。

该漏洞需要更改参数并输入其他用户’的ID。这些数字是连续的,因此为什么Dreher知道当前大约有7000个注册用户。

德雷尔展示了为什么'对于检查所有API是否安全至关重要。您想要的最后一件事是黑客在跟踪,监听或发送消息方面比“PWNED!” to your users.

你可以看德雷尔’在以下Troopers 2019安全会议上的演讲:

有兴趣听行业领导者讨论这样的话题并分享他们的经验吗? 参加 网络安全&世界云博览会 即将在硅谷,伦敦和阿姆斯特丹举行的活动,以了解更多信息。

查看评论
发表评论

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *