close
    • chevron_right

      A watch designed exclusively for kids has an undocumented spying backdoor

      Dan Goodin · news.movim.eu / ArsTechnica · Monday, 12 October, 2020 - 13:00 · 1 minute

    A watch designed exclusively for kids has an undocumented spying backdoor

    Enlarge (credit: Xplora )

    A popular smartwatch designed exclusively for children contains an undocumented backdoor that makes it possible for someone to remotely capture camera snapshots, wiretap voice calls, and track locations in real time, a researcher said.

    The X4 smartwatch is marketed by Xplora, a Norway-based seller of children’s watches. The device, which sells for about $200, runs on Android and offers a range of capabilities, including the ability to make and receive voice calls to parent-approved numbers and to send an SOS broadcast that alerts emergency contacts to the location of the watch. A separate app that runs on the smartphones of parents allows them to control how the watches are used and receive warnings when a child has strayed beyond a present geographic boundary.

    But that’s not all

    It turns out that the X4 contains something else: a backdoor that went undiscovered until some impressive digital sleuthing. The backdoor is activated by sending an encrypted text message. Harrison Sand, a researcher at Norwegian security company Mnemonic, said that commands exist for surreptitiously reporting the watch’s real-time location , taking a snapshot and sending it to an Xplora server, and making a phone call that transmits all sounds within earshot.

    Read 15 remaining paragraphs | Comments

    index?i=CFOuMqjFxg4:29JG5L79UWk:V_sGLiPBpWUindex?i=CFOuMqjFxg4:29JG5L79UWk:F7zBnMyn0Loindex?d=qj6IDK7rITsindex?d=yIl2AUoC8zA
    • chevron_right

      How a hacker turned a $250 coffee maker into ransom machine

      Dan Goodin · news.movim.eu / ArsTechnica · Saturday, 26 September, 2020 - 14:58

    With the name Smarter, you might expect a network-connected kitchen appliance maker to be, well, smarter than companies selling conventional appliances. But in the case of the Smarter’s Internet-of-things coffee maker, you’d be wrong.

    As a thought experiment, Martin Hron, a researcher at security company Avast, reverse engineered one of the $250 devices to see what kinds of hacks he could do. After just a week of effort, the unqualified answer was: quite a lot. Specifically, he could trigger the coffee maker to turn on the burner, dispense water, spin the bean grinder, and display a ransom message, all while beeping repeatedly. Oh, and by the way, the only way to stop the chaos was to unplug the power cord. Like this:

    What a hacked coffee maker looks like

    “It’s possible,” Hron said in an interview. “It was done to point out that this did happen and could happen to other IoT devices. This is a good example of an out-of-the-box problem. You don't have to configure anything. Usually, the vendors don’t think about this.”

    Read 22 remaining paragraphs | Comments

    index?i=BWgg6v7sQGI:AR1ZW37nlPg:V_sGLiPBpWUindex?i=BWgg6v7sQGI:AR1ZW37nlPg:F7zBnMyn0Loindex?d=qj6IDK7rITsindex?d=yIl2AUoC8zA
    • chevron_right

      Gnome et Logitech collaborent pour vous proposer des mises à jour de leur solution Unify

      Adrien Dorsaz · Tuesday, 23 May, 2017 - 05:21 · 1 minute

    Unify est une technologie propriétaire de Logitech qui permet de connecter plusieurs périphériques sans fils sur une machine avec un seul petit appareil USB.

    Logitech n'a jamais officiellement supporté Linux comme système d'exploitation, mais leur appareil fonctionne plutôt bien avec Linux et le logiciel "solaar" qui permet de configurer vos périphériques sur la clé USB sans passer par Windows.

    Seulement, plusieurs vulnérabilités ont été découvertes dans le protocol de communication Unify et Logitech a poussé sur les OS supportés une mise à jour du firmware pour leurs appareils Unify. Évidemment, comme Linux n'est pas supporté, il n'y a pas eu de mise à jour pour ce système d'exploitation.

    Comme Richard alias "hughsie", développeur GNOME travaillant chez Red Hat, l'explique, la vulnérabilité permet de prendre contrôle de votre machine à une distance de plus ou moins 50 mètres, ce qui rend assez dangereux de s'aventurer dans un café avec cet outil branché.

    Heureusement, GNOME a à disposition depuis quelques versions l'outil Gnome Software qui est capable de chercher sur Internet des mises à jour de firmware et de les appliquer graphiquement (la partie de recherche et de mise à jour est faite par le logiciel "fwupd"). Ainsi, Richard a pu entrer en discussion avec Logitech pour demander de la documentation sur le pocessus de mise à jour du firmware Unify.

    Nous pouvons remercier Logitech d'avoir accepté de collaborer avec Richard, car ils ont même accepté ensuite de publier les mises à jour sur un environnement public accessible donc par Gnome Softwaire. En plus, ils proposent maintenant la mise à jour sous forme de binaire utilisable directement par Linux au lieu de devoir le récupérer depuis le fichier ".exe" de Windows.

    Si vous voulez faire la mise à jour le plus vite possible, Richard explique à la fin de l'article comment activer le dépôt "testing" nécessaire pour l'instant pour appliquer la mise à jour avec "fwupd".