Смарт-часы Lenovo Watch X отправляют данные на «неизвестный» сервер в Китае

[душман]

Бюджетные «умные» часы Watch X производства компании Lenovo подверглись критике из-за уязвимостей, представляющих угрозу безопасности и конфидинциальности пользователей. Эксперт компании Checkmarx Дэвид Сопас выявил ряд уязвимостей, которые могут подвергать пользователей Lenovo Watch X опасности.

Согласно отчету, один баг в часах данной модели был связан с отправкой данных о местоположении пользователя через незашифрованный канал связи на «неизвестный» сервер в Китае. Другая обнаруженная ошибка позволяла провести атаку «человек посередине» с целью перехвата трафика между мобильным приложением и web-сервером. Третья уязвимость могла привести к взлому учетных записей владельцев «умных» часов.

«Из-за отсутствия проверки учетной записи и разрешений появлялась возможность принудительной смены пароля для любого пользователя. Любой, знающий идентификатор пользователя, может изменить пароль и, следовательно, взломать удаленную учетную запись», - добавил Сопас.

Три ошибки имели отношение к Bluetooth. Первая уязвимость заключалась в возможности перевода часов в режим беспрерывного сопряжения с помощью движения руки. Вторая ошибка позволяла атакующему отправить специальную команду для установки будильника на часах. Третий баг предоставлял возможность подделывать оповещения о входящих вызовах на часы.

В октябре 2018 года Checkmarx уведомила компанию Lenovo об уязвимостях в часах Watch X. Представители компании признали наличие уязвимостей спустя несколько недель и в январе 2019 года Lenovo сообщила об исправлении проблем.