Il ricercatore espone il problema di sicurezza con GPS Smartwatch
Dopo una lunga, frustrante e in ultima analisi infruttuosa battaglia per ottenere un fornitore di smartwatch austriaco per correggere gravi vulnerabilità, il ricercatore di sicurezza Christopher Bleckmann-Dreher alla fine ha deciso di fare un po 'di scherzo. Centinaia di smartwatch GPS abilitati in questione hanno visualizzato il messaggio "PWNED!" sui loro schermi, attraverso punti di coordinate GPS collegati, rapporti ZDNet.
Il signor Dreher è stato relatore in una recente conferenza sulla sicurezza che si è tenuta in Germania nel marzo 2019, dove ha delineato in modo molto dettagliato le vulnerabilità che interessano una vasta gamma di GPS osservati prodotti da un'azienda austriaca di nome Vidimensio. Il problema di sicurezza in questione era un difetto nell'API utilizzata per la comunicazione tra i dispositivi e il server. La vulnerabilità è stata esposta alla fine del 2017.
La ricerca di Dreher sul problema è iniziata dopo che la Germania ha bandito ufficialmente la vendita di un'altra marca di smartwatch che permetteva ai genitori di ascoltare i loro figli, in quanto avevano una vulnerabilità che avrebbe potuto facilmente consentire ai cattivi attori di spiare sia i bambini che le famiglie. Esaminando la questione, Dreher ha riscontrato sia problemi di snooping, sia scappatoie che hanno permesso ai cattivi attori di inviare comandi agli orologi GPS. Quando i problemi di sicurezza furono scoperti per la prima volta, Dreher fu abbastanza gentile da rivolgersi prima al produttore. Dopo che Vidimensio non ha intrapreso alcuna azione significativa, il ricercatore ha utilizzato un'influente notiziario per spingerli a implementare correzioni di lavoro. Purtroppo, le correzioni sono state solo parziali e sono rimasti molti problemi.
Utilizzando i fori non contrassegnati nell'API, Dreher ha inserito un gran numero di punti di coordinate GPS sugli schermi degli orologi, scrivendo in modo efficace "PWNED!" sugli schermi dei dispositivi interessati. Ha detto di averlo fatto su centinaia di dispositivi, ma ha scelto espressamente orologi che non erano in linea da più di un anno.
Purtroppo, gli sforzi di Dreher non hanno fermato gli orologi GPS dalla vendita, anche se ha persino contattato l'agenzia federale della rete tedesca, che a sua volta ha rifiutato di costringere il produttore a riparare completamente gli orologi. Secondo il rapporto e l'intervista originali di ZDNet, i dispositivi sono ancora in vendita in Germania e le autorità non impongono il divieto ufficiale.