PWNED: el investigador utiliza una API rota para imprimir el mensaje en los relojes GPS

Un investigador de seguridad alemán imprimió la palabra "PWNED!" En cientos de relojes GPS para demostrar un punto sobre una API rota.

Christopher Bleckmann-Dreher descubrió una vulnerabilidad en una API utilizada por el fabricante austriaco de relojes GPS Vidimensio.

Los relojes de la firma son utilizados por una amplia gama de la población desde los ancianos hasta los niños, y afectó a más de 20 modelos.

Dreher alertó a Vidimensio sobre el problema, pero fue ignorado por más de un año. Dado el potencial de un riesgo mucho mayor en las manos equivocadas, Dreher decidió probar un punto acerca de dejar esas vulnerabilidades sin arreglar de una manera descaradamente relativamente inofensiva.

Todos los modelos afectados comparten la misma API de backend que pretende trabajar como intermediario y punto de almacenamiento entre el software móvil asociado y el reloj. Dreher comprometió esta API para escribir el mensaje en el mapa GPS para sus dispositivos.

En 2017, las autoridades alemanas prohibieron la venta de relojes inteligentes a menores que afirman que se pueden usar como dispositivos de escucha. Esto impulsó el trabajo de Dreher.

De acuerdo con las advertencias de las autoridades, Dreher descubrió que los usuarios del reloj Vidimensio Paladin podían ser escuchados e incluso rastreados. Sin embargo, a pesar de sus advertencias, el número de relojes afectados utilizados ha aumentado de 700 a alrededor de 7000.

El exploit requiere cambiar un parámetro e ingresar la ID de otro usuario. Estos números son secuenciales, por lo que Dreher sabe que actualmente hay alrededor de 7000 usuarios registrados.

Dreher ha demostrado por qué es tan importante verificar que todas las API sean seguras. Lo último que desea es que un pirata informático rastree, escuche o envíe mensajes peores que "PWNED!" A sus usuarios.

Puede ver la presentación de Dreher en la conferencia de seguridad de Troopers 2019 a continuación:

¿Interesado en escuchar a los líderes de la industria discutir temas como este y compartir sus experiencias? Asista a la Serie Mundial de Cyber ​​Security y Cloud Expo con los próximos eventos en Silicon Valley, Londres y Amsterdam para obtener más información.

Historias relacionadas