ثغرة أمنية في خوذة ذكية شهيرة سمحت بتتبع الموقع بشكل صامت

قامت الشركة المصنعة لخوذة التزلج والدراجة الذكية الشهيرة بإصلاح ثغرة أمنية سمحت بتتبع الموقع بسهولة في الوقت الفعلي لأي شخص يرتدي خوذاتها.

تصنع Livall خوذات متصلة بالإنترنت تسمح لمجموعات من المتزلجين أو راكبي الدراجات بالتحدث مع بعضهم البعض باستخدام مكبر الصوت والميكروفون المدمجين في الخوذة، ومشاركة موقعهم في الوقت الفعلي في مجموعة الأصدقاء باستخدام تطبيقات Livall للهواتف الذكية.

وقال كين مونرو، مؤسس شركة اختبار الأمن السيبراني البريطانية Pen Test Partners، إن تطبيقات الهاتف الذكي الخاصة بشركة Livall بها عيب بسيط يسمح بالوصول السهل إلى الدردشات الصوتية وبيانات الموقع لأي مجموعة. يقول مونرو إن التطبيقين، أحدهما للمتزلجين والآخر لراكبي الدراجات، يضمان مجتمعين حوالي مليون مستخدم.

في قلب الخطأ، وجد مونرو أن أي شخص يستخدم تطبيقات Livall للدردشة الصوتية الجماعية ومشاركة موقعه يجب أن يكون جزءًا من نفس مجموعة الأصدقاء، والتي يمكن الوصول إليها باستخدام الرمز الرقمي المكون من ستة أرقام لهذه المجموعة فقط.

وقال مونرو في منشور بالمدونة يصف الخلل: “إن رمز المجموعة المكون من 6 أرقام ليس عشوائيًا بدرجة كافية”. “يمكننا فرض القوة الغاشمة على جميع معرفات المجموعة في غضون دقائق.”

ومن خلال القيام بذلك، يمكن لأي شخص الوصول إلى أي من المليون من التباديل الممكنة لرموز الدردشة الجماعية.

وقال مونرو: “بمجرد إدخال شخص ما رمزًا صالحًا للمجموعة، انضم إلى المجموعة تلقائيًا”، مضيفًا أن هذا حدث دون تنبيه أعضاء المجموعة الآخرين.

وقال مونرو: “لذلك كان الانضمام بصمت إلى أي مجموعة أمراً تافهاً، مما أتاح لنا الوصول إلى موقع أي مستخدم والقدرة على الاستماع إلى أي اتصالات صوتية جماعية”. “الطريقة الوحيدة التي يمكن من خلالها اكتشاف مستخدم المجموعة المارقة هي أن يذهب المستخدم الشرعي للتحقق من أعضاء تلك المجموعة.”

مونرو وزملاؤه في مجال الأبحاث الأمنية ليسوا غرباء على اكتشاف عيوب غامضة ولكنها بسيطة في كثير من الأحيان في المنتجات المتصلة بالإنترنت، مثل أجهزة إنذار السيارات وتطبيقات المواعدة والألعاب الجنسية. وجدت الشركة في عام 2021 أن شركة Peloton كانت تكشف بيانات الحساب الخاص للركاب بسبب تسرب واجهة برمجة التطبيقات، حيث لعبت TechCrunch بكل فخر دور خنزير غينيا.

بعد التواصل مع Livall، التي طلبت المزيد من المعلومات، أرسل مونرو تفاصيل عن الخلل في 7 يناير لكنه لم يتلق أي رد، ولم يتلق أي إقرار من الشركة.

نظرًا للمخاطر التي يتعرض لها المستخدمون دون توقع إصلاح الخلل، نبه مونرو TechCrunch إلى الخلل واتصل TechCrunch بـ Livall للتعليق.

عندما تم التواصل معنا عبر البريد الإلكتروني، التزم مؤسس Livall، Bryan Zheng، بإصلاح التطبيق في غضون أسبوعين من بريدنا الإلكتروني، لكنه رفض إزالة تطبيقات Livall في هذه الأثناء.

احتفظت TechCrunch بهذا التقرير حتى أكدت Livall أنها أصلحت الخلل في تحديثات التطبيق التي تم إصدارها هذا الأسبوع.

في رسالة بريد إلكتروني، أوضح ريتشارد يي، مدير البحث والتطوير في شركة Livall، أن الشركة حسنت عشوائية رموز المجموعة عن طريق إضافة رسائل أيضًا، وتضمين تنبيهات للأعضاء الجدد الذين ينضمون إلى المجموعات. وقال يي أيضًا إن التطبيق يسمح الآن بإيقاف تشغيل الموقع المشترك على مستوى المستخدم.