智能手表的安全漏洞或导致痴呆症患者过量服药

作者:孙宇晨 来源:www.5idf.cn 2020-07-25   阅读:


智能手表的安全漏洞或导致痴呆症患者过量服药

安全研究人员近期发出警告,智能手表上一款为痴呆症患者提供帮助的应用程序存在安全漏洞,如果被黑客利用,可能会导致患者服药过量。

研究人员在该应用程序中发现有一个用于服务器之间通讯的API没有权限限制,攻击者可以通过它来实施多种恶意行为。具体来说,这个API可以发送指令,而它除了需要检查一段硬编码在代码中的半随机字符串之外,不要求任何安全认证。研究人员指出,这就意味着未经授权的攻击者可以像一个“受信任”的服务器一样随意发送指令。

如果攻击者知道了智能手表的设备ID,他便可以利用这个安全问题通过手表进行任意呼叫或短信,冒充父母向佩戴手表的儿童发送消息,或者访问手表摄像头。更糟糕的是,攻击者可以向安装了此程序的手表发送“TAKEPILLS”指令,来提醒患者吃药(即使患者可能刚刚才服用过药物)。

“任何拥有基本黑客技术的人都可以追踪手表佩戴者,或者通过手表进行窃听,更可怕的是,他们可以随意触发手上的服药提醒,这对所有我们测试过的带有追踪功能的手表几乎都可行”,研究人员说道,“痴呆症患者很可能不记得他们刚刚才服用过药物,这很容易导致他们服药过量。

尽管物联网安全问题早已不是什么新闻,联网智能手表的隐私问题仍被视为极大的威胁,因为它会影响到老人和儿童。在2019年4月,有一款名为TicTocTrack的智能手表被爆出了安全问题,本来应该帮助家长定位孩子的功能被黑客利用来跟踪或者呼叫儿童。在2019年1月,研究人员在TechSixtyFour公司的手表中发现了多个安全漏洞,其中一些可能会导致35000名儿童敏感信息的泄漏。而在同年2月,欧盟委员会更是召回了一款德国Enox Group公司发布的物联网手表Safe-KID-One,理由是其存在“严重”的隐私问题。

谷歌禁止带跟踪功能的应用广告

从今年8月开始谷歌的广告政策将进行更新,禁止推广跟踪软件的产品或服务广告。跟踪软件可以安装在设备上跟踪主人位置、活动。谷歌表示,违反这一政策的行为将首先收到至少7天的警告,如还违反则将被封停账户。

根据谷歌的广告政策显示,更新后的政策将禁止推广那些明确以追踪或监控他人或其活动为目的的营销或目标产品或服务。

但谷歌的禁令有一个问题:谷歌对跟踪软件广告的禁令不会扩展到私人调查服务或旨在为父母跟踪或监控其未成年子女的服务,有专家谴责这是监控软件公司的一个大漏洞。专家表示,为了避开这条规则,有的跟踪软件公司很可能会伪装为帮助父母追踪儿童的应用程序进行非法跟踪活动。

TP-LINK Kasa系列监控摄像头存在安全漏洞

普联公司(TP-LINK)旗下的Kasa品牌有一款畅销级的监控摄像头产品,这款产品存在一系列安全问题,进而可能会遭到远程攻击,导致黑客获得访问私有视频或更改设备设置的权限。

在研究人员发现的安全问题中,最严重的实属Kasa移动应用程序中SSL证书的实现方式,其中的安全漏洞使得产品完全暴露在中间人攻击威胁之下。虽然公司在6月11日发布了漏洞补丁,但是我们尚不清楚补丁程序是自动安装到设备上还是需要用户自己去下载。

研究人员还写道,“另一个让我同样担心的问题并非和摄像头本身直接相关,而是公司网页的认证功能模块,服务器的API(应用程序编程接口)会提供了过于详细的错误信息。由于平台上大多数用户都和我一样使用邮箱地址作为用户名,只需要发送一系列网页请求,就可以对平台上的用户账号进行枚举。我有长期对抗自动化网络攻击的工作经验,因此我知道认证终端提供过于详细的错误消息将引起账户接管(ATO)攻击。”

尽管该研究人员没有披露存在问题的产品的具体型号,但是据他声称,《消费者报告》杂志最近有关于这款监控摄像头的评论。而近期出现在该杂志点评中的普联产品型号有KC120,KC200和KC300S2。

分享给小伙伴们:
如果本文侵犯了您的权利, 请联系本网立即做出处理,谢谢。
相关文章