Смарт-часы Lenovo Watch X отправляют данные на «неизвестный» сервер в Китае
Многочисленные уязвимости в Lenovo Watch X угрожают безопасности владельцев.
Бюджетные «умные» часы Watch X производства компании Lenovo подверглись критике из-за уязвимостей, представляющих угрозу безопасности и конфидинциальности пользователей. Эксперт компании Checkmarx Дэвид Сопас (David Sopas) выявил ряд уязвимостей, которые могут подвергать пользователей Lenovo Watch X опасности.
Согласно отчету , один баг в часах данной модели был связан с отправкой данных о местоположении пользователя через незашифрованный канал связи на «неизвестный» сервер в Китае. Другая обнаруженная ошибка позволяла провести атаку «человек посередине» с целью перехвата трафика между мобильным приложением и web-сервером.
Третья уязвимость могла привести к взлому учетных записей владельцев «умных» часов.
«Из-за отсутствия проверки учетной записи и разрешений появлялась возможность принудительной смены пароля для любого пользователя. Любой, знающий идентификатор пользователя, может изменить пароль и, следовательно, взломать удаленную учетную запись», — добавил Сопас.
Три ошибки имели отношение к Bluetooth. Первая уязвимость заключалась в возможности перевода часов в режим беспрерывного сопряжения с помощью движения руки. Вторая ошибка позволяла атакующему отправить специальную команду для установки будильника на часах. Третий баг предоставлял возможность подделывать оповещения о входящих вызовах на часы.
В октябре 2018 года Checkmarx уведомила компанию Lenovo об уязвимостях в часах Watch X. Представители компании признали наличие уязвимостей спустя несколько недель и в январе 2019 года Lenovo сообщила об исправлении проблем.