近期,国外有安全研究人员发布了一份关于联想Watch X的研究报告,报告中表示,该设备遍布“令人不安的”隐私和安全漏洞。
外媒报道截图
该智能手表(50美元)于2018年6月推出市场,最初因其设计、功能和续航方面的良好表现而备受好评。但在发布几个月后,该手表就因其自身安全性而广受批评。
Checkmarx在周二发布的一份报告中表示,安全研究人员David Sopas描述了这款手表一系列的缺陷,并在最后表示这个手表会将他的位置信息发送到中国的一个“未知服务器”,这严重侵犯了他的隐私。
联想随后表示,Checkmarx文章中列出的所有漏洞“将于本周完成修复”。
而文章所提及的一个漏洞会通过经度和纬度精确定位了手机位置,并将位置数据通过未加密的通信信道发送到中国的联想总部。而与此相对的,另一个被发现的漏洞可能被用来进行中间人攻击。研究人员表示:“移动app和服务器之间发送的通信并没有加密,任何人都可以进行嗅探。”
其他漏洞还包括帐户接管漏洞。他表示:“由于缺少帐户权限验证,任何知道用户ID的人,都可更改帐户密码。”
在蓝牙方面,也有三个漏洞:有时使用者手部活动会让手表进入配对模式,并且永不超时。另一个漏洞可使攻击者向手表发送一个特定的命令来设置多个闹钟,每分钟就可执行一次。最后一个蓝牙写入权限漏洞可让攻击者伪造来电警告。
Sopas强调,联想Watch X的app下载量超过50000次。
而联想表示,这只手表从未在美国市场销售。尽管它有英文版的应用,而且美国的一些在线零售商也在销售这款手表。
“Watch X专为中国市场设计,仅限联想在中国的销售。我们的安全团队正在与手表的海外开发部加紧合作,争取尽快解决研究人员发现的安全漏洞,所有修复工作预计本周完成。”
Checkmarx于2018年10月就向联想披露了这些漏洞。几周后联想确认漏洞存在。今年1月,联想表示马上将发布修复方案。
智能手表已不是第一次曝出严重安全问题。上个月,手表制造商Gator的儿童手表曝出信息泄露漏洞,影响35000名儿童和20000个个人帐户。
文章来源:观察者网