请点击输入图片描述(最多18字)
2024年2月,智能厂商APP漏洞被发现,截至目前,已经解决。我们回顾一下发生了以什么。
原新闻标题:
Security flaw in a popular smart helmet allowed silent location tracking
《流行的智能头盔中的安全漏洞允许静音位置跟踪》
流行的智能滑雪和自行车头盔的制造商修复了一个安全漏洞,该漏洞允许轻松实时跟踪任何佩戴其头盔的人。
厂商是力沃(Livall )。
一句话总结就是:安全问题出在 Livall 为滑雪和自行车头盔开发的配套手机 App 上,这个 App 存在安全漏洞,可以让恶意用户轻松追踪佩戴头盔的人员实时位置。
我们来看看漏洞细节:
App 创建了滑雪或骑行好友群组功能,群组成员可以通过头盔内置的扬声器和麦克风进行实时语音通话,并共享彼此的实时位置。
问题在于加入好友群组只需要该群组的 6 位数字代码,而这个代码并不是随机生成的。
安全研究人员发现,可以通过穷举法破解所有可能的群组代码,只需要几分钟就能实现。
任何人只要破解了群组代码,就可以加入群组,从而实现以下恶意行为:
追踪任何群组成员的实时位置。
窃听群组成员之间的语音通话(因为加入群组不会提醒其他成员)。
外媒联系了英国网络安全测试公司Pen Test Partners的创始人Ken Munro。
也就是说,力沃(Livall )制造连接互联网的头盔,允许滑雪者或自行车骑手群体使用头盔的内置扬声器和麦克风相互交谈,并使用力沃(Livall )的智能手机应用程序在朋友的群组中分享他们的实时位置。
英国网络安全测试公司Pen Test Partners的创始人Ken Munro表示,力沃(Livall )的智能手机应用程序有一个简单的缺陷,可以轻松访问任何群组的音频聊天和位置数据。
Munro说,这两个应用程序,一个是滑雪者,一个是骑自行车的人,总共有大约100万用户。
Munro发现在漏洞的核心,任何使用力沃(Livall )应用程序进行群组音频聊天和分享其位置的人都必须是同一个朋友组的成员,该组只能使用该组的六位数数字代码访问。
“这个6位数的组代码根本不够随机,”Munro在一篇描述该漏洞的博客文章中说。“我们可以在几分钟内暴力破解所有组 ID。”
这样一来,任何人都可以访问 100 万种可能的群聊代码排列中的任何一种。
“一旦一个人输入了有效的群组代码,就会自动加入群组,”Munro说,并补充说,这种情况是在没有提醒其他群组成员的情况下发生的。
“因此,默默地加入任何群组都是微不足道的,让我们能够访问任何用户的位置并能够监听任何群组的音频通信,”Munro说。“检测流氓组用户的唯一方法是合法用户去检查该组的成员。
Munro和他的安全研究同事对在互联网连接产品(如汽车警报器,约会应用程序和性玩具)中发现晦涩但通常简单的缺陷并不陌生。
该公司在 2021 年发现,Peloton 正在暴露骑手的私人帐户数据,因为 API 泄漏。
Peloton Interactive, Inc. 是一家总部位于纽约市的美国健身器材和媒体公司。该公司的产品是固定自行车、跑步机和室内划船器,配备联网触摸屏,通过订阅服务流式传输直播和点播健身课程。该设备包括内置传感器,可跟踪功率输出等指标,为用户提供有关其性能和排行榜排名的实时反馈,以与其他用户竞争。
这次,外媒TechCrunch 在与Livall取得联系, 征求意见。
在一封电子邮件中,Livall的研发总监Richard Yi解释说,该公司还通过添加字母来改善群组代码的随机性,并包括对加入群组的新成员的提醒。Yi还表示,该应用程序现在允许在用户级别关闭共享位置。
最后,漏洞修复了。
完毕。
