Lenovo Watch X era pieno di problemi di sicurezza, afferma il ricercatore: TechCrunch


Lenovo's Watch X è stato ampiamente definito come "assolutamente terribile". A quanto pare, lo è stata anche la sua sicurezza.

Lo smartwatch low-end da $ 50 era uno degli smartwatch economici più economici di Lenovo. Disponibile solo per il mercato cinese, chiunque ne voglia uno deve comprarne uno direttamente dalla terraferma. Fortunatamente per Erez Yalon, capo della ricerca sulla sicurezza di Checkmarx, una compagnia di test sulla sicurezza delle applicazioni, gli è stata data una da un amico. Ma non gli ci è voluto molto per trovare diverse vulnerabilità che gli permettevano di cambiare le password degli utenti, dirottare account e contraffare le telefonate.

Poiché lo smartwatch non utilizzava alcuna crittografia per inviare i dati dall'app al server, Yalon ha detto che era in grado di vedere il suo indirizzo e-mail e la password inviati in chiaro, così come i dati su come stava usando l'orologio, come quanti passi stava prendendo.

"L'intera API non è stata crittografata", ha detto Yalon in una e-mail a TechCrunch. "Tutti i dati sono stati trasferiti in testo normale."

L'API che aiuta ad alimentare l'orologio è stata facilmente abusata, ha scoperto, permettendogli di resettare la password di chiunque semplicemente conoscendo il nome utente di una persona. Questo avrebbe potuto dargli accesso al conto di chiunque, disse.

Non solo, ha scoperto che l'orologio stava condividendo la sua precisa geolocalizzazione con un server in Cina. Data l'esclusività dell'orologio in Cina, potrebbe non essere una bandiera rossa per i nativi. Ma Yalon ha detto che l'orologio aveva "già individuato la mia posizione" prima ancora che avesse registrato il suo account.

La ricerca di Yalon non si limitava solo alle API leaky. Scoprì che lo smartwatch abilitato al Bluetooth poteva anche essere manipolato da vicino, inviando richieste Bluetooth predisposte. Usando una piccola sceneggiatura, ha dimostrato quanto fosse facile falsificare una telefonata sull'orologio.

Usando un simile comando Bluetooth malevolo, poteva anche impostare l'allarme per spegnersi – ancora e ancora. "La funzione consente di aggiungere più allarmi, spesso ogni minuto", ha affermato.

Lenovo non ha avuto molto da dire sulle vulnerabilità, oltre a confermare la loro esistenza.

"The Watch X è stato progettato per il mercato cinese ed è disponibile solo da Lenovo per i canali di vendita limitati in Cina", ha affermato il portavoce Andrew Barron. "Nostro [security team] squadra ha lavorato con il [original device manufacturer] questo fa sì che l'orologio risolva le vulnerabilità identificate da un ricercatore e tutte le correzioni dovrebbero essere completate questa settimana. "

Yalon ha affermato che la crittografia del traffico tra l'orologio, l'app per Android e il suo server web impedisce il ficcanaso e aiuta a ridurre la manipolazione.

"La correzione delle autorizzazioni API elimina la capacità degli utenti malintenzionati di inviare comandi all'orologio, falsificare le chiamate e impostare allarmi", ha affermato.