联想的Watch X被广泛宣传为“绝对可怕”。 事实证明,其安全性也是如此。
低端的50美元智能手表是联想最便宜的智能手表之一。只有中国市场才有,任何想要的人都必须直接从大陆购买。对于应用安全测试公司Checkmarx的安全研究负责人Erez Yalon来说,幸运的是他给了朋友一个。但是他花了很长时间才找到一些漏洞,这些漏洞允许他更改用户密码,劫持帐户和欺骗电话。
由于智能手表没有使用任何加密方式将数据从应用程序发送到服务器,Yalon说他能够看到他的注册电子邮件地址和密码以纯文本形式发送,以及有关他如何使用手表的数据,如他走了多少步。
“整个API都没有加密,”Yalon在给TechCrunch的电子邮件中说道。“所有数据均以纯文本形式传输。”
他发现,帮助为手表供电的API容易被滥用,只需知道一个人的用户名就可以重置任何人的密码。他说,这可能会让他访问任何人的帐户。
不仅如此,他还发现手表正在与中国的服务器分享他精确的地理定位。鉴于手表对中国的独家经营权,它可能不会成为当地人的红旗。但Yalon表示,在他注册账号之前,手表“已经确定了我的位置”。
Yalon的研究不仅仅局限于泄漏的API。他发现蓝牙智能手表也可以通过发送精心设计的蓝牙请求从附近进行操作。他用一个小脚本演示了在手表上欺骗手机是多么容易。
使用类似的恶意蓝牙命令,他还可以将闹钟设置为关闭 - 一次又一次。“该功能允许添加多个警报,就像每分钟一样,”他说。
除了确认它们的存在之外,联想对这些漏洞没有多少可说的。
“Watch X专为中国市场设计,只能从联想到中国的限量销售渠道,”发言人Andrew Barron说。“我们的[安全团队]团队一直与[原始设备制造商]合作,使手表能够解决研究人员发现的漏洞,所有修复工作都将在本周完成。”
Yalon表示,加密手表,Android应用程序及其Web服务器之间的流量会阻止窥探并帮助减少操作。
“修复API权限消除了恶意用户向手表发送命令,欺骗呼叫和设置警报的能力,”他说。
标签: 联想WatchX
