Ang Lenovo Watch X ay puno ng mga bug sa seguridad, sabi ng researcher – TechCrunch


Ang Lenovo's Watch X ay malawak na na-panned bilang "ganap na kahila-hilakbot." Bilang ito ay lumiliko out, kaya ang seguridad nito.

Ang low-end $ 50 na smart watch ay isa sa mga pinakasikat na smart watches ng Lenovo. Magagamit lamang para sa merkado ng Tsina, sinuman na nagnanais na bumili ng isang tao nang direkta mula sa mainland. Mabuti para sa Erez Yalon, pinuno ng pagsasaliksik sa seguridad sa Checkmarx, isang kompanya ng pagsubok sa seguridad ng aplikasyon, binigyan siya ng isa mula sa isang kaibigan. Ngunit hindi siya nagagalit upang makahanap ng maraming mga kahinaan na nagpapahintulot sa kanya na baguhin ang mga password ng gumagamit, pag-hijack ng mga account, at mga tawag sa spoof.

Dahil ang smart watch ay hindi gumagamit ng anumang encryption upang magpadala ng data mula sa app sa server, sinabi ni Yalon na nakikita niya ang kanyang rehistradong email address at password na ipinadala sa plain text, gayundin ang data tungkol sa kung paano niya ginagamit ang relo, tulad ng kung gaano karaming mga hakbang na kinukuha niya.

"Ang buong API ay hindi naka-encrypt," sabi ni Yalon sa isang email sa TechCrunch. "Ang lahat ng data ay inilipat sa plain-text."

Ang API na tumutulong sa kapangyarihan ang panonood ay madaling inabuso, natagpuan niya, na pinahihintulutan siyang i-reset ang password ng sinuman sa pamamagitan lamang ng pag-alam sa username ng isang tao. Iyon ay maaaring magbigay sa kanya ng access sa account ng sinuman, sinabi niya.

Hindi lamang iyon, nakita niya na ang pagbabantay ay nagbabahagi ng kanyang tumpak na geolocation sa isang server sa China. Dahil sa pagiging eksklusibo ng relo sa Tsina, maaaring hindi ito isang pulang bandila sa mga katutubo. Ngunit sinabi ni Yalon na ang relo ay "pinatutunayan na ang aking lokasyon" bago pa siya nakarehistro ng kanyang account.

Ang pananaliksik ni Yalon ay hindi lamang limitado sa tumutulo na API. Nalaman niyang ang manipis na pinapanahong Bluetooth ay maaari ring manipulahin mula sa kalapit, sa pamamagitan ng pagpapadala ng mga hiniling na mga kahilingan sa Bluetooth. Gamit ang isang maliit na script, nagpakita siya kung gaano kadali ang pagkilos ng isang tawag sa telepono sa relo.

Gamit ang isang katulad na nakahahamak na command na Bluetooth, maaari rin niyang itakda ang alarma upang umalis – muli at muli. "Ang pag-andar ay nagbibigay-daan sa pagdaragdag ng maraming mga alarma, kasing dami ng bawat minuto," sabi niya.

Ang Lenovo ay walang gaanong sasabihin tungkol sa mga kahinaan, maliban sa pagkumpirma ng kanilang pag-iral.

"Ang Watch X ay dinisenyo para sa merkado ng Tsina at magagamit lamang mula sa Lenovo sa limitadong mga channel sa pagbebenta sa China," sabi ni Andrew Barron na tagapagsalita. "Aming [security team] Ang koponan ay nagtatrabaho sa [original device manufacturer] na gumagawa ng relo upang tugunan ang mga kahinaan na kinilala ng isang mananaliksik at ang lahat ng mga pag-aayos ay dapat makumpleto ngayong linggo. "

Sinabi ni Yalon na ang pag-encrypt ng trapiko sa pagitan ng relo, ang Android app, at ang web server nito ay maiiwasan ang pag-iingat at makatulong na mabawasan ang pagmamanipula.

"Ang pag-aayos ng mga pahintulot ng API ay nag-aalis ng kakayahan ng mga nakakahamak na gumagamit na magpadala ng mga utos sa panoorin, paniniktik, at magtakda ng mga alarma," sabi niya.