聯(lián)想智能手表曝出令人不安的隱私和安全漏洞

研究人員發(fā)現(xiàn)，聯(lián)想智能手表存在多種安全問題。近期，國外有安全研究人員發(fā)布了一份關于聯(lián)想Watch X的研究報告，報告中表示，該設備遍布“令人不安的”隱私和安全漏洞。

外媒報道截圖

該智能手表（50美元）于2018年6月推出市場，最初因其設計、功能和續(xù)航方面的良好表現(xiàn)而備受好評。但在發(fā)布幾個月后，該手表就因其自身安全性而廣受批評。

Checkmarx在周二發(fā)布的一份報告中表示，安全研究人員David Sopas描述了這款手表一系列的缺陷，并在最后表示這個手表會將他的位置信息發(fā)送到中國的一個“未知服務器”，這嚴重侵犯了他的隱私。

聯(lián)想隨后表示，Checkmarx文章中列出的所有漏洞“將于本周完成修復”。

而文章所提及的一個漏洞會通過經(jīng)度和緯度精確定位了手機位置，并將位置數(shù)據(jù)通過未加密的通信信道發(fā)送到中國的聯(lián)想總部。而與此相對的，另一個被發(fā)現(xiàn)的漏洞可能被用來進行中間人攻擊。研究人員表示：“移動app和服務器之間發(fā)送的通信并沒有加密，任何人都可以進行嗅探?！?/p>

其他漏洞還包括帳戶接管漏洞。他表示：“由于缺少帳戶權限驗證，任何知道用戶ID的人，都可更改帳戶密碼?！?/p>

在藍牙方面，也有三個漏洞：有時使用者手部活動會讓手表進入配對模式，并且永不超時。另一個漏洞可使攻擊者向手表發(fā)送一個特定的命令來設置多個鬧鐘，每分鐘就可執(zhí)行一次。最后一個藍牙寫入權限漏洞可讓攻擊者偽造來電警告。

Sopas強調(diào)，聯(lián)想Watch X的app下載量超過50000次。

而聯(lián)想表示，這只手表從未在美國市場銷售。盡管它有英文版的應用，而且美國的一些在線零售商也在銷售這款手表。

“Watch X專為中國市場設計，僅限聯(lián)想在中國的銷售。我們的安全團隊正在與手表的海外開發(fā)部加緊合作，爭取盡快解決研究人員發(fā)現(xiàn)的安全漏洞，所有修復工作預計本周完成。”

Checkmarx于2018年10月就向聯(lián)想披露了這些漏洞。幾周后聯(lián)想確認漏洞存在。今年1月，聯(lián)想表示馬上將發(fā)布修復方案。

智能手表已不是第一次曝出嚴重安全問題。上個月，手表制造商Gator的兒童手表曝出信息泄露漏洞，影響35000名兒童和20000個個人帳戶。