Loa mũ bảo hiểm trượt tuyết Chips của Outdoor Tech là một mớ hỗn độn nóng của lỗ hổng bảo mật
Đôi khi các tiện ích thông minh nhất trên thế giới đi kèm với bảo mật cao nhất.
Alan Monie, một nhà nghiên cứu bảo mật tại công ty bảo mật không gian mạng Pen Test Partners của Anh, đã mua và thử nghiệm một cặp loa không dây Chips 2.0 , được xây dựng bởi Outdoor Tech có trụ sở tại California, chỉ để thấy chúng là một cơn ác mộng về bảo mật.
Loa trong mũ bảo hiểm cho phép người dùng nghe nhạc khi đang di chuyển, thực hiện cuộc gọi và nói chuyện với bạn bè thông qua bộ đàm - tất cả mà không cần phải tháo mũ bảo hiểm. Các loa được kết nối với một ứng dụng trên điện thoại của bạn.
Có lẽ bạn đang nghĩ: an ninh có thể tệ đến mức nào trên loa mũ bảo hiểm trượt tuyết đủ đơn giản?
Theo Monie, người đã viết ra những phát hiện của mình , thật dễ dàng để lấy các luồng dữ liệu từ API phía máy chủ, được sử dụng để liên lạc với ứng dụng, như tên người dùng, địa chỉ email và số điện thoại của bất kỳ ai có tài khoản. Monie cho biết API đã trả lại mật khẩu bị xáo trộn, nhưng mã đặt lại mật khẩu đó đã được gửi trong bản rõ.
Tồi tệ hơn, có thể tiết lộ vị trí địa lý chính xác của người dùng và lắng nghe các cuộc trò chuyện bộ đàm thời gian thực của bất kỳ ai.
Điều duy nhất tồi tệ hơn các lỗi bảo mật là sự thiếu phản ứng của công ty khi Monie tìm cách khắc phục các sự cố. Sau một cuộc trao đổi email ngắn trong vài ngày, công ty đã ngừng trả lời, ông nói.
“Chúng tôi thực sự thích sản phẩm nhưng bảo mật của máy còn thiếu,” Monie nói trong báo cáo của mình .
Người phát ngôn của Outdoor Tech, Taylor Toussaint, cho biết công ty và không biết về bất kỳ lỗ hổng hệ thống nào hiện có như vậy, nhưng đã từ chối liên lạc khi được hỏi liệu công ty có nhận được bất kỳ liên hệ nào từ các nhà nghiên cứu bảo mật hay không. Email được xem bởi TechCrunch cho thấy những nỗ lực của các nhà nghiên cứu để cảnh báo Outdoor Tech về các lỗ hổng.
Đây là ví dụ mới nhất về nhiều nơi mà các nhà sản xuất tiện ích không chịu trách nhiệm về tính bảo mật của phần cứng hoặc phần mềm của họ. Với rất nhiều thiết bị được kết nối với internet - trực tiếp hoặc thông qua một ứng dụng - mọi công ty phải suy nghĩ như một công ty bảo mật.
Alan Monie, một nhà nghiên cứu bảo mật tại công ty bảo mật không gian mạng Pen Test Partners của Anh, đã mua và thử nghiệm một cặp loa không dây Chips 2.0 , được xây dựng bởi Outdoor Tech có trụ sở tại California, chỉ để thấy chúng là một cơn ác mộng về bảo mật.
 |
| Học lập trình viên quốc tế |
Loa trong mũ bảo hiểm cho phép người dùng nghe nhạc khi đang di chuyển, thực hiện cuộc gọi và nói chuyện với bạn bè thông qua bộ đàm - tất cả mà không cần phải tháo mũ bảo hiểm. Các loa được kết nối với một ứng dụng trên điện thoại của bạn.
Có lẽ bạn đang nghĩ: an ninh có thể tệ đến mức nào trên loa mũ bảo hiểm trượt tuyết đủ đơn giản?
Theo Monie, người đã viết ra những phát hiện của mình , thật dễ dàng để lấy các luồng dữ liệu từ API phía máy chủ, được sử dụng để liên lạc với ứng dụng, như tên người dùng, địa chỉ email và số điện thoại của bất kỳ ai có tài khoản. Monie cho biết API đã trả lại mật khẩu bị xáo trộn, nhưng mã đặt lại mật khẩu đó đã được gửi trong bản rõ.
Tồi tệ hơn, có thể tiết lộ vị trí địa lý chính xác của người dùng và lắng nghe các cuộc trò chuyện bộ đàm thời gian thực của bất kỳ ai.
Điều duy nhất tồi tệ hơn các lỗi bảo mật là sự thiếu phản ứng của công ty khi Monie tìm cách khắc phục các sự cố. Sau một cuộc trao đổi email ngắn trong vài ngày, công ty đã ngừng trả lời, ông nói.
“Chúng tôi thực sự thích sản phẩm nhưng bảo mật của máy còn thiếu,” Monie nói trong báo cáo của mình .
Người phát ngôn của Outdoor Tech, Taylor Toussaint, cho biết công ty và không biết về bất kỳ lỗ hổng hệ thống nào hiện có như vậy, nhưng đã từ chối liên lạc khi được hỏi liệu công ty có nhận được bất kỳ liên hệ nào từ các nhà nghiên cứu bảo mật hay không. Email được xem bởi TechCrunch cho thấy những nỗ lực của các nhà nghiên cứu để cảnh báo Outdoor Tech về các lỗ hổng.
Đây là ví dụ mới nhất về nhiều nơi mà các nhà sản xuất tiện ích không chịu trách nhiệm về tính bảo mật của phần cứng hoặc phần mềm của họ. Với rất nhiều thiết bị được kết nối với internet - trực tiếp hoặc thông qua một ứng dụng - mọi công ty phải suy nghĩ như một công ty bảo mật.
Leave a Comment