Popüler akıllı kayak ve bisiklet kaskının üreticisi, kaskını takan herkesin gerçek zamanlı konum takibini kolaylaştıran bir güvenlik kusurunu düzeltti.
Livall, kayakçı veya bisiklet sürücüsü gruplarının kaskın dahili hoparlörü ve mikrofonunu kullanarak birbirleriyle konuşmasına ve Livall’ın akıllı telefon uygulamalarını kullanarak bir arkadaşının grubunda gerçek zamanlı konumlarını paylaşmasına olanak tanıyan internet bağlantılı kasklar üretiyor.
Birleşik Krallık siber güvenlik test firması Pen Test Partners’ın kurucusu Ken Munro, Livall’ın akıllı telefon uygulamalarında herhangi bir grubun sesli sohbetlerine ve konum verilerine kolay erişim sağlayan basit bir kusur bulunduğunu söyledi. Munro, biri kayakçılara, diğeri bisiklet sürücülerine yönelik olan iki uygulamanın toplamda yaklaşık bir milyon kullanıcıya sahip olduğunu söylüyor.
Hatanın temelinde Munro, Livall’ın sesli grup sohbeti uygulamalarını kullanan ve konumlarını paylaşan herkesin aynı arkadaş grubunun parçası olması gerektiğini ve bu gruba yalnızca grubun altı haneli sayısal kodunu kullanarak erişilebileceğini buldu.
Munro, kusuru açıklayan bir blog yazısında “Bu 6 haneli grup kodu yeterince rastgele değil” dedi. “Tüm grup kimliklerini birkaç dakika içinde kaba kuvvetle çalıştırabiliriz.”
Bunu yaparken herkes grup sohbet kodlarının bir milyon olası permütasyonundan herhangi birine erişebilir.
Munro, “Geçerli bir grup kodu girer girmez otomatik olarak gruba katılıyor” dedi ve bunun diğer grup üyelerini uyarmadan gerçekleştiğini ekledi.
Munro, “Dolayısıyla herhangi bir gruba sessizce katılmak önemsizdi, bu da bize herhangi bir kullanıcının konumuna erişme ve herhangi bir grup sesli iletişimini dinleme olanağı sağlıyordu” dedi. “Bir haydut grup kullanıcısının tespit edilebilmesinin tek yolu, meşru kullanıcının o grubun üyelerini kontrol etmeye gitmesiydi.”
Munro ve güvenlik araştırmacısı meslektaşları, araba alarmları, flört uygulamaları ve seks oyuncakları gibi internete bağlı ürünlerde belirsiz ama genellikle basit kusurlar bulmaya yabancı değiller. Firma, 2021’de TechCrunch’ın gururla kobay oynadığı sızdıran bir API nedeniyle Peloton’un sürücülerin özel hesap verilerini açığa çıkardığını tespit etti.
Daha fazla bilgi isteyen Livall’a ulaştıktan sonra Munro, kusurun ayrıntılarını 7 Ocak’ta gönderdi ancak yanıt alamadı ve şirketten herhangi bir onay alamadı.
Kusurun düzeltileceğine dair hiçbir beklentisi olmayan kullanıcılar için risk göz önüne alındığında Munro, TechCrunch’ı kusur konusunda uyardı ve TechCrunch yorum almak için Livall ile temasa geçti.
Livall’ın kurucusu Bryan Zheng, e-postayla kendisine ulaştığında, e-postamızı aldıktan sonraki iki hafta içinde uygulamayı düzeltmeyi taahhüt etti ancak bu arada Livall uygulamalarını kaldırmayı reddetti.
TechCrunch, Livall bu hafta yayınlanan uygulama güncellemelerindeki kusuru düzelttiğini doğrulayana kadar bu raporu elinde tuttu.
Livall’ın Ar-Ge direktörü Richard Yi, bir e-postada şirketin, mektuplar ekleyerek ve gruplara katılan yeni üyeler için uyarılar ekleyerek grup kodlarının rastgeleliğini iyileştirdiğini açıkladı. Yi ayrıca uygulamanın artık paylaşılan konumun kullanıcı düzeyinde kapatılmasına izin verdiğini söyledi.
Kaynak: https://techcrunch.com/2024/02/08/livall-smart-helmet-flaw-location-tracking/