|
|
户外技术CHIPS智能耳机中的一系列安全漏洞适合滑雪头盔,允许不良演员收集电子邮件,密码,GPS位置等数据 - 甚至可以实时收听对话。
- i0 O; A$ T _. P
8 {" p" d. g) x研究人员在一副智能耳机中发现了一系列漏洞,这些耳机专为滑雪头盔而设计。这些瑕疵可能让一个不好的演员通过耳机的对讲机功能查看受害者的个人信息,跟踪他们,甚至听他们的私人谈话,该功能使用移动数据和手机应用程序。
9 X2 m+ r9 @; p; f8 T, M& @+ S! n8 {" j# M6 g2 w0 n& d5 u& F
Pen Test Partners的研究人员在Outdoor Tech CHIPS智能耳机中发现了一系列安全漏洞。# \ D1 K z" T% j
5 M* h; M9 Y s- h; N1 p
“我们推测开发公司没有遵循OWASP [开放式网络应用安全项目]的安全开发实践,而且户外技术在安全性方面并不十分精通,无法对此进行查询,”Pen Test Partners研究员Alan Monie在周一的分析中表示。“很遗憾,因为我们非常喜欢这款产品,但它的安全性却非常缺乏。即使是预期的功能也会泄露个人身份信息(PII)。太疯狂了。”2 [* K8 O9 @: F1 K
1 F# u5 ? k8 W% T f3 w( ^! k
在意识到对讲机功能泄漏了PII之后,Monie最初决定分析耳机:“对讲机应用引起了我的注意,”他说。“我开始组建一个小组,发现我可以看到所有用户。我开始搜索自己的名字,发现我可以检索帐户中同名的每个用户。“
" O; K8 [9 o# G0 O
q' S& J1 z6 t9 |8 H8 d+ s+ f b) z物联网安全滑雪头盔缺陷3 r2 ~) B" h! @0 f$ D
" a% t: Q0 V; [7 T4 n5 u4 m3 a" j: b" G
Monie发现,通过不安全的直接对象引用(IDOR)故障,他能够进行一系列恶意活动。IDOR错误允许基于用户控制下的某个键值(例如,用户提交的值或可由用户操纵的URL字符串)来检索信息。密钥通常将识别和获取存储在系统中的用户相关记录; 但是,如果处理不当,授权过程将无法正确检查数据访问操作,以确保执行操作的经过身份验证的用户具有足够的权限来执行请求的数据访问,从而允许攻击者绕过任何其他授权检查。系统。, I( P: C0 S* O6 l; _
( ^( p2 A2 A8 z) w1 i
在此特定方案中,攻击者可以从API中提取所有用户和电子邮件地址,以纯文本格式检索密码哈希值和密码重置代码,以及查看用户的电话号码。4 d; _7 \( m% m5 t$ d. w
! S2 s* G; N* _
但除了窃取个人信息之外,不良演员还可以提取用户的实时GPS位置并收听实时对讲机聊天。
" ]4 B! W1 w! ?# {: _- p9 Q3 p, ~' y+ D& |3 P& t
Monie还告诉Threatpost,任何人都可以在App Store下载Outdoor Tech的音频应用程序,然后可以自行注册帐户并远程破坏任何其他用户帐户。9 Z' D, D. f( J
6 E& \& F2 V7 E0 c, | q
“显然,我只是在他们允许的情况下提取了我的或我朋友的数据,”他说。“道德意图较低的人可能会做得更糟。”
: P7 Y; d! x+ r5 U; U' b% ?1 _3 Q
物联网安全滑雪头盔缺陷0 f4 |# j" _8 m7 B/ q# Y
4 I. H1 |3 s) J+ [更糟糕的是,经过多次尝试从2月6日开始通知Outdoor Tech的漏洞后,研究人员表示该公司并没有承认安全问题。1 A+ \2 U# I& I4 |! E/ _, z
- }! a8 {8 g8 i! k“七天后,我们在20 日再次追赶他们 月2日,并指出我们现在将公开披露,因为漏洞尚未得到承认,并且没有提出任何补救行动,”莫妮说。“从那以后我们什么都没听到。”7 `/ [6 O% U3 l7 ~. c# W/ N
; C) I7 O7 o) V" }6 [8 ]5 jOutdoor Tech没有回应Threatpost的评论请求。 |
|
发表于 2019-3-5 20:58:55