Lenovo Watch X a été criblé de bogues de sécurité, selon un chercheur – TechCrunch


La montre Lenovo X a été largement qualifiée de «absolument terrible». En fin de compte, sa sécurité l’était aussi.

La smartwatch bas de gamme à 50 $ était l’une des smartwatches les moins chères de Lenovo. Disponible uniquement pour le marché chinois, quiconque le souhaite doit en acheter un directement du continent. Heureusement pour Erez Yalon, responsable de la recherche en sécurité chez Checkmarx, une société de tests de sécurité des applications, il en a reçu un d'un ami. Mais il n’a pas tardé à trouver plusieurs vulnérabilités qui lui permettaient de modifier les mots de passe des utilisateurs, de détourner des comptes et de fausser des appels téléphoniques.

Parce que la smartwatch n’utilisait aucun cryptage pour envoyer des données de l’application au serveur, Yalon a indiqué qu’il pouvait voir son adresse e-mail enregistrée et son mot de passe envoyés en clair, ainsi que des données sur la façon dont il utilisait la montre, comme combien de pas il faisait.

«L’ensemble de l’API n’était pas chiffré», a déclaré Yalon dans un courrier électronique à TechCrunch. "Toutes les données ont été transférées en texte brut."

L'API qui permet d'alimenter la montre fut facilement utilisée de manière abusive, lui permettant de réinitialiser le mot de passe de quiconque simplement en connaissant le nom d'utilisateur de cette personne. Cela aurait pu lui donner accès au compte de quiconque, a-t-il déclaré.

De plus, il a constaté que la montre partageait sa géolocalisation précise avec un serveur en Chine. Compte tenu de l’exclusivité de la montre en Chine, il se peut que ce ne soit pas un drapeau rouge pour les autochtones. Mais Yalon a déclaré que la montre avait "déjà localisé ma position" avant même d'avoir enregistré son compte.

Les recherches de Yalon ne se limitent pas à l’API qui fuit. Il a découvert que la montre intelligente compatible Bluetooth pouvait également être manipulée à proximité, en envoyant des requêtes Bluetooth spécialement conçues. À l'aide d'un petit script, il a démontré à quel point il était facile de faire passer un appel téléphonique sur la montre.

En utilisant une commande Bluetooth malveillante similaire, il pouvait également régler l’alarme pour qu’elle se déclenche – encore et encore. "La fonction permet d'ajouter plusieurs alarmes, aussi souvent que chaque minute", a-t-il déclaré.

Lenovo n’avait pas grand chose à dire sur les vulnérabilités, à part de confirmer leur existence.

«La Watch X a été conçue pour le marché chinois et n’est disponible que chez Lenovo pour des canaux de vente limités en Chine», a déclaré le porte-parole Andrew Barron. "Notre [security team] l'équipe a travaillé avec le [original device manufacturer] cela fait que la montre s'attaque aux vulnérabilités identifiées par un chercheur et que toutes les corrections doivent être apportées cette semaine. ”

Yalon a déclaré que le cryptage du trafic entre la montre, l'application Android et son serveur Web empêcherait l'espionnage et contribuerait à réduire les manipulations.

"La correction des autorisations de l'API élimine la possibilité pour les utilisateurs malveillants d'envoyer des commandes à la montre, d'usurper des appels et de définir des alarmes", a-t-il déclaré.