El investigador de seguridad David Sopas, que ha expuesto una serie de vulnerabilidades preocupantes, le ha dado ambos barriles al dispositivo portátil Watch X barato y alegre de Lenovo.

Además del propio Watch X, que enviaba regularmente datos de ubicación a los servidores de Lenovo en China, los datos enviados entre el reloj y la aplicación de Android no estaban cifrados, lo que significa que cualquier dato enviado entre el reloj, la aplicación de Android y el servidor web podría ser espiado por cualquiera.

Sopas con sede en Portugal demostrado que el Watch X transmitiría su ubicación con sorprendente precisión, enviando coordenadas. El investigador también demostró que sería remotamente fácil piratear el dispositivo si estuvieran en la misma red. Incluso registrarse para obtener una cuenta en el Lenovo Watch X no estaba protegido por HTTPS, lo que significa que cualquier persona en esa red podría lanzar un ataque de intermediario y obtener nombres de usuario, direcciones de correo electrónico y contraseñas.

Menos preocupante, también sería posible que alguien tomara el control del reloj de forma remota y desactive la alarma y envíe llamadas falsas al usuario, como esta. llamada falsa de la ‘NSA’.

«Creo que las vulnerabilidades en el Lenovo Watch X merecen ser analizadas: compartir mi ubicación exacta con un servidor remoto no parecía necesario para que el Watch X funcionara como estaba diseñado», dijo Sopas. «También es una violación de mi privacidad y claramente comparte [personally identifiable information]. Cifrar la comunicación entre Watch X, la aplicación de Android y el servidor web ayudaría a reducir el impacto de estos problemas, y es básicamente una buena práctica «.

No proteger adecuadamente los datos que podrían identificar a alguien, personalmente La información identificable, o PII, puede, en caso de violación de datos, conducir a fuertes multas bajo el Reglamento General de Protección de Datos de la UE (GDPR). Sin embargo, no hay ninguna sugerencia de que se haya producido una violación como resultado de que Watch X o la aplicación no encripten los datos.

Un portavoz de Lenovo envió a Mami quiero Unos la siguiente declaración: “El Watch X fue diseñado para el mercado de China y solo está disponible en Lenovo para canales de venta limitados en China.

“Nuestro PSIRT [Product Security Incident Response Team] equipo ha estado trabajando con el ODM [original device manufacturer] eso hace que el reloj aborde las vulnerabilidades identificadas por un investigador y todas las correcciones deben completarse esta semana «.

Si bien es posible que el dispositivo no haya tenido la intención de encontrar una audiencia fuera de su mercado nativo, lo que explicaría por qué seguía pasando información a los servidores chinos, pudimos encontrar algo en Amazon Reino Unido (vendido nada menos que por Lenovo).

La aplicación Lenovo Watch que Sopas menciona en su informe también fue ausente de la tienda de aplicaciones de Google Play en el momento de redactar este documento, presumiblemente, se restablecerá cuando se hayan implementado los parches de seguridad.

Mira, ¿piensas en el Watch X mirando a sus usuarios? Háganos saber en Twitter, a través de una VPN muy cifrada, en @Mamiquierouno.

Leave a Reply