联想智能手表曝出令人不安的隐私和安全漏洞

研究人员发现，联想智能手表存在多种安全问题。近期，国外有安全研究人员发布了一份关于联想Watch X的研究报告，报告中表示，该设备遍布“令人不安的”隐私和安全漏洞。

外媒报道截图

该智能手表（50美元）于2018年6月推出市场，最初因其设计、功能和续航方面的良好表现而备受好评。但在发布几个月后，该手表就因其自身安全性而广受批评。

Checkmarx在周二发布的一份报告中表示，安全研究人员David Sopas描述了这款手表一系列的缺陷，并在最后表示这个手表会将他的位置信息发送到中国的一个“未知服务器”，这严重侵犯了他的隐私。

联想随后表示，Checkmarx文章中列出的所有漏洞“将于本周完成修复”。

而文章所提及的一个漏洞会通过经度和纬度精确定位了手机位置，并将位置数据通过未加密的通信信道发送到中国的联想总部。而与此相对的，另一个被发现的漏洞可能被用来进行中间人攻击。研究人员表示：“移动app和服务器之间发送的通信并没有加密，任何人都可以进行嗅探。”

其他漏洞还包括帐户接管漏洞。他表示：“由于缺少帐户权限验证，任何知道用户ID的人，都可更改帐户密码。”

在蓝牙方面，也有三个漏洞：有时使用者手部活动会让手表进入配对模式，并且永不超时。另一个漏洞可使攻击者向手表发送一个特定的命令来设置多个闹钟，每分钟就可执行一次。最后一个蓝牙写入权限漏洞可让攻击者伪造来电警告。

Sopas强调，联想Watch X的app下载量超过50000次。

而联想表示，这只手表从未在美国市场销售。尽管它有英文版的应用，而且美国的一些在线零售商也在销售这款手表。

“Watch X专为中国市场设计，仅限联想在中国的销售。我们的安全团队正在与手表的海外开发部加紧合作，争取尽快解决研究人员发现的安全漏洞，所有修复工作预计本周完成。”

Checkmarx于2018年10月就向联想披露了这些漏洞。几周后联想确认漏洞存在。今年1月，联想表示马上将发布修复方案。

智能手表已不是第一次曝出严重安全问题。上个月，手表制造商Gator的儿童手表曝出信息泄露漏洞，影响35000名儿童和20000个个人帐户。