Slimme fiets- en skihelmen van fabrikant Livall lekken de real-time locatiegegevens van gebruikers en maken het mogelijk om hen af te luisteren. Dat blijkt uit onderzoek van securitybedrijf Pen Test Partners.
De helmen zijn voorzien van een bluetooth-speaker en microfoon en kunnen via de bijbehorende app de locatie doorgeven. Via de app is het mogelijk om een groep aan te maken waarin de locatie van deelnemers wordt getoond en het mogelijk is om gesprekken te voeren. Deelname aan een groep bestaat uit een zescijferige code.
Pen Test Partners ontdekte dat het eenvoudig is om alle mogelijke cijfercombinaties via een bruteforce-aanval te proberen en zo toegang tot willekeurige groepen te krijgen. Gebruikers worden namelijk niet geïnformeerd wanneer iemand aan een groep wordt toegevoegd. De enige manier waardoor een malafide gebruiker kon worden gedetecteerd was wanneer een legitieme gebruiker het aantal groepsdeelnemers controleerde.
Livall werd op 7 januari over het probleem ingelicht, maar Pen Test Partners stelt dat de communicatie daarna stokte. Pas nadat de onderzoekers naar de media stapten en die het bedrijf benaderden, maakte Livall begin deze maand bekend dat het nu gebruikmaakt van codes bestaande uit zes alfanumerieke tekens, wat een bruteforce-aanval stukken lastiger maakt. Gebruikers moeten hiervoor wel hun app updaten.
Alles bij de bron; Security