Слушалки за ски и сноуборд използвани за кражба на разговори, имейли и телефонни номера
Липса на оторизация за използване на API на аксесоара позволява злоупотреба с лични данни
Използването на Bluetooth аудио аксесоари, вградени в каската за ски или сноуборд носи своите несравним удобства и предимства. Слушането на музика без излишни кабели, разговори по телефона и под формата на уокитоки – това са само част от функциите на едни такива слушалки – Chips 2.0. Според блога Naked Security на Sophos, обаче, те имат и един огромен недостатък: позволяват подслушването на собствениците им и източването на други лични данни.
Уязвимостта се дължи на начина, по който функционира аксесоарът – и по-специално, възможността му да бъде използван като заместител на радиостанция или уокитоки на пистата.
За да работи, Chips 2.0 се свързва с мобилното ви устройство посредством Bluetooth и специално мобилно приложение, след което използва свързаността на смартфона, за да функционира. Всичко това се случва през сървърите на компанията създател на продукта – Outdoor Tech.
Благодарение на самото приложение, може да създавате групи с приятели, с които да си говорите директно през с мобилното приложение – без да набирате телефон. Това може да се случи след регистрирането на акаунт в приложението. При регистрацията обаче, се оказва, че всеки може да види всички потребители на приложението – а, ако има достъп до програмно-приложния му интерфейс (API), всеки може да изкара списък с всички потребители на Chips 2.0 с личните им данни.
Например, търсене с A в API-то връща 19 хил. резултата, заедно с имейли, телефонни номера, GPS позиция в реално време, хеширана парола и възможност за подслушване на разговорите между потребителите. Всичко това, без да е необходима оторизация пред самото API – т.е. достъпно за всеки, който знае как да стигне до нея.