Представьте, что вы катаетесь по склонам или спускаетесь по тропам с друзьями, а ваш «умный» шлем легко соединяет вас через голосовой чат и даже сообщает ваше местоположение для безопасности. Звучит удобно, правда? Но что, если простой недостаток в системе безопасности поставит под угрозу вашу конфиденциальность и безопасность? Именно это произошло с популярными «умными» шлемами Livall, в результате чего миллионы пользователей стали жертвами потенциального шпионажа.
Исследователь безопасности Кен Манро обнаружил критическую уязвимость в приложениях для смартфонов Livall. Проблема заключалась в групповых кодах, которые должны были представлять собой безопасные 6-значные номера, предоставляющие доступ к чату и обмену местоположением в группе. К сожалению, эти коды не обладали достаточной случайностью, поэтому их легко было угадать с помощью методов перебора.
По сути, любой мог взломать код, бесшумно присоединиться к любому групповому чату и узнавать точное местонахождение каждого члена группы, подслушивать приватные голосовые разговоры между друзьями.
Поскольку в двух приложениях Livall работает более миллиона пользователей, масштабы этой уязвимости весьма значительны.
Источник: www.ferra.ru