Der Hersteller eines beliebten intelligenten Ski- und Fahrradhelms hat eine Sicherheitslücke behoben, die eine einfache Standortverfolgung in Echtzeit für jeden ermöglicht, der seine Helme trägt.
Livall stellt mit dem Internet verbundene Helme her, die es Gruppen von Skifahrern oder Radfahrern ermöglichen, über den eingebauten Lautsprecher und das Mikrofon des Helms miteinander zu sprechen und über die Smartphone-Apps von Livall ihren Echtzeitstandort mit der Gruppe eines Freundes zu teilen.
Ken Munro, Gründer des britischen Cybersicherheitstestunternehmens Pen Test Partners, sagte, dass die Smartphone-Apps von Livall einen einfachen Fehler aufwiesen, der einen einfachen Zugriff auf die Audio-Chats und Standortdaten jeder Gruppe ermöglichte. Laut Munro haben die beiden Apps, eine für Skifahrer und eine für Radfahrer, zusammen etwa eine Million Nutzer.
Als Kern des Fehlers stellte Munro fest, dass jeder, der die Apps von Livall für Gruppen-Audio-Chats nutzt und seinen Standort teilt, Teil derselben Freundesgruppe sein muss, auf die nur mit dem sechsstelligen Zahlencode dieser Gruppe zugegriffen werden kann.
„Dieser sechsstellige Gruppencode ist einfach nicht zufällig genug“, sagte Munro in einem Blogbeitrag, in dem der Fehler beschrieben wird. „Wir könnten alle Gruppen-IDs innerhalb weniger Minuten brutal erzwingen.“
Auf diese Weise konnte jeder auf jede der 1 Million möglichen Permutationen von Gruppenchat-Codes zugreifen.
„Sobald man einen gültigen Gruppencode eingegeben hat, ist man automatisch der Gruppe beigetreten“, sagte Munro und fügte hinzu, dass dies geschah, ohne andere Gruppenmitglieder zu alarmieren.
„Daher war es einfach, sich stillschweigend einer Gruppe anzuschließen, was uns Zugriff auf den Standort jedes Benutzers und die Möglichkeit gab, die Audiokommunikation jeder Gruppe mitzuhören“, sagte Munro. „Die einzige Möglichkeit, einen betrügerischen Gruppenbenutzer zu erkennen, bestand darin, dass der legitime Benutzer nach den Mitgliedern dieser Gruppe suchte.“
Munro und seinen Kollegen aus der Sicherheitsforschung ist es nicht fremd, obskure, aber oft einfache Mängel in mit dem Internet verbundenen Produkten wie Autoalarmanlagen, Dating-Apps und Sexspielzeugen zu finden. Das Unternehmen stellte im Jahr 2021 fest, dass Peloton die privaten Kontodaten der Fahrer aufgrund einer undichten API preisgab, bei der Tech stolz das Versuchskaninchen spielte.
Nachdem Munro sich an Livall gewandt und um weitere Informationen gebeten hatte, übermittelte er am 7. Januar Einzelheiten zu dem Fehler, erhielt jedoch keine Antwort und vom Unternehmen auch keine Bestätigung.
Angesichts des Risikos für Benutzer, die nicht erwarten, dass der Fehler behoben wird, machte Munro Tech auf den Fehler aufmerksam und Tech kontaktierte Livall um einen Kommentar.
Als wir ihn per E-Mail erreichten, verpflichtete sich Livall-Gründer Bryan Zheng, die App innerhalb von zwei Wochen nach unserer E-Mail zu reparieren, lehnte es jedoch ab, die Livall-Apps in der Zwischenzeit zu entfernen.
Tech hielt diesen Bericht zurück, bis Livall bestätigte, dass der Fehler in den App-Updates, die diese Woche veröffentlicht wurden, behoben wurde.
In einer E-Mail erklärte Richard Yi, Forschungs- und Entwicklungsleiter von Livall, dass das Unternehmen die Zufälligkeit von Gruppencodes verbessert habe, indem es auch Buchstaben hinzugefügt und Benachrichtigungen für neue Mitglieder hinzugefügt habe, die Gruppen beitreten. Yi sagte auch, dass die App jetzt die Deaktivierung des freigegebenen Standorts auf Benutzerebene ermögliche.