Halo guys selamat sore, apa kabar hari ini? jadi dikesempatan ini aku
mau ngasih informasi tentang Lenovo X Watch yang sekarang ini secara
luas disorot sebagai "jam yang sangat mengerikan." Itu dikarenakan Lenovo X Watch
ini memiliki keamanan yang sangat lemah.
Smartwatch low-end $ 50 adalah
salah satu smartwatch termurah Lenovo. Tapi sayangnya produk ini Hanya tersedia
untuk pasar Cina, siapa pun yang ingin memilikinya harus membeli langsung dari
daratan. Beruntung bagi Erez Yalon, kepala penelitian keamanan di Checkmarx,
sebuah perusahaan penguji keamanan aplikasi, ia diberikan satu dari seorang
teman. Tetapi tidak butuh waktu lama baginya untuk menemukan beberapa
kerentanan yang memungkinkannya untuk mengubah kata sandi pengguna, membajak
akun, dan melakukan spoof panggilan telepon.
Karena smartwatch tidak
menggunakan enkripsi apa pun untuk mengirim data dari aplikasi ke server, Yalon
mengatakan ia dapat melihat alamat email dan kata sandi terdaftarnya yang
dikirim dalam teks biasa, serta data tentang bagaimana ia menggunakan arloji, seperti
berapa banyak langkah yang dia ambil.
"Seluruh API tidak
terenkripsi," kata Yalon "Semua data ditransfer dalam teks
biasa."
API yang membantu memberi daya
pada arloji itu mudah disalahgunakan, ia menemukan, memungkinkannya untuk
mereset kata sandi siapa pun hanya dengan mengetahui nama pengguna seseorang.
Itu bisa memberinya akses ke akun siapa pun, katanya.
Baca Juga konten ini yah guys :
Tidak hanya itu, ia menemukan
bahwa arloji itu membagikan geolokasi yang tepat dengan server di China.
Mengingat jam tangan eksklusif untuk China, itu mungkin bukan bendera merah
untuk penduduk asli. Tetapi Yalon mengatakan arloji itu "sudah menunjukkan
lokasi saya" sebelum ia bahkan mendaftarkan akunnya.
Penelitian Yalon tidak hanya
terbatas pada API yang bocor. Dia menemukan bahwa jam tangan pintar yang
diaktifkan Bluetooth juga dapat dimanipulasi dari dekatnya, dengan mengirimkan
permintaan Bluetooth buatan. Menggunakan skrip kecil, ia mendemonstrasikan
betapa mudahnya menipu panggilan telepon di arloji.
Dengan menggunakan perintah
Bluetooth berbahaya yang serupa, ia juga dapat mengatur alarm untuk mati - lagi
dan lagi. "Fungsi ini memungkinkan penambahan beberapa alarm, sesering
setiap menit," katanya.
Lenovo tidak banyak bicara
tentang kerentanan, selain mengkonfirmasi keberadaan mereka.
"Watch X dirancang untuk
pasar China dan hanya tersedia dari Lenovo untuk saluran penjualan terbatas di
Cina," kata juru bicara Andrew Barron. "Tim [tim keamanan] kami telah
bekerja dengan [produsen perangkat asli] yang membuat arloji untuk mengatasi
kerentanan yang diidentifikasi oleh seorang peneliti dan semua perbaikan akan
selesai minggu ini."
Yalon mengatakan bahwa
mengenkripsi lalu lintas antara jam tangan, aplikasi Android dan server webnya
akan mencegah pengintaian dan membantu mengurangi manipulasi.
"Memperbaiki izin API
menghilangkan kemampuan pengguna jahat untuk mengirim perintah ke arloji, spoof
panggilan, dan mengatur alarm," katanya.
Oke itu dulu ya guys untuk hari ini semoga ini bisa bermanfaat untuk
kalian semua, jangan lupa untuk di share ke semua sosial media yang kamu punya
ya agar orang lain juga bisa up2date juga dengan informasi ini. oke bye see you
next content Thankyou.
Halo guys selamat sore, apa kabar hari ini? jadi dikesempatan ini aku
mau ngasih informasi tentang Lenovo X Watch yang sekarang ini secara
luas disorot sebagai "mengerikan sekali." Ternyata, begitu pula dengan
keamanannya.
Smartwatch low-end $ 50 adalah
salah satu smartwatch termurah Lenovo. Tapi sayangnya produk ini Hanya tersedia
untuk pasar Cina, siapa pun yang ingin memilikinya harus membeli langsung dari
daratan. Beruntung bagi Erez Yalon, kepala penelitian keamanan di Checkmarx,
sebuah perusahaan penguji keamanan aplikasi, ia diberikan satu dari seorang
teman. Tetapi tidak butuh waktu lama baginya untuk menemukan beberapa
kerentanan yang memungkinkannya untuk mengubah kata sandi pengguna, membajak
akun, dan melakukan spoof panggilan telepon.
Karena smartwatch tidak
menggunakan enkripsi apa pun untuk mengirim data dari aplikasi ke server, Yalon
mengatakan ia dapat melihat alamat email dan kata sandi terdaftarnya yang
dikirim dalam teks biasa, serta data tentang bagaimana ia menggunakan arloji, seperti
berapa banyak langkah yang dia ambil.
"Seluruh API tidak
terenkripsi," kata Yalon "Semua data ditransfer dalam teks
biasa."
API yang membantu memberi daya
pada arloji itu mudah disalahgunakan, ia menemukan, memungkinkannya untuk
mereset kata sandi siapa pun hanya dengan mengetahui nama pengguna seseorang.
Itu bisa memberinya akses ke akun siapa pun, katanya.
Tidak hanya itu, ia menemukan
bahwa arloji itu membagikan geolokasi yang tepat dengan server di China.
Mengingat jam tangan eksklusif untuk China, itu mungkin bukan bendera merah
untuk penduduk asli. Tetapi Yalon mengatakan arloji itu "sudah menunjukkan
lokasi saya" sebelum ia bahkan mendaftarkan akunnya.
Penelitian Yalon tidak hanya
terbatas pada API yang bocor. Dia menemukan bahwa jam tangan pintar yang
diaktifkan Bluetooth juga dapat dimanipulasi dari dekatnya, dengan mengirimkan
permintaan Bluetooth buatan. Menggunakan skrip kecil, ia mendemonstrasikan
betapa mudahnya menipu panggilan telepon di arloji.
Dengan menggunakan perintah
Bluetooth berbahaya yang serupa, ia juga dapat mengatur alarm untuk mati - lagi
dan lagi. "Fungsi ini memungkinkan penambahan beberapa alarm, sesering
setiap menit," katanya.
Lenovo tidak banyak bicara
tentang kerentanan, selain mengkonfirmasi keberadaan mereka.
"Watch X dirancang untuk
pasar China dan hanya tersedia dari Lenovo untuk saluran penjualan terbatas di
Cina," kata juru bicara Andrew Barron. "Tim [tim keamanan] kami telah
bekerja dengan [produsen perangkat asli] yang membuat arloji untuk mengatasi
kerentanan yang diidentifikasi oleh seorang peneliti dan semua perbaikan akan
selesai minggu ini."
Yalon mengatakan bahwa
mengenkripsi lalu lintas antara jam tangan, aplikasi Android dan server webnya
akan mencegah pengintaian dan membantu mengurangi manipulasi.
"Memperbaiki izin API
menghilangkan kemampuan pengguna jahat untuk mengirim perintah ke arloji, spoof
panggilan, dan mengatur alarm," katanya.
Oke itu dulu ya guys untuk hari ini semoga ini bisa bermanfaat untuk
kalian semua, jangan lupa untuk di share ke semua sosial media yang kamu punya
ya agar orang lain juga bisa up2date juga dengan informasi ini. oke bye see you
next content Thankyou.
