Σοβαρές ευπάθειες ανακαλύφθηκαν σε Xiaomi Smartwatch
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Σοβαρές ευπάθειες ανακαλύφθηκαν σε Xiaomi Smartwatch
https://www.secnews.gr/651448/xiaomi-smartwatch-paraviastike-xrisimopoiontas-touch-point/
Jun 19th 2025, 13:10
by Absenta Mia
Ο ερευνητής ασφαλείας Sergei Volokitin παρουσίασε ευρήματα σχετικά με ευπάθειες υλικού που εντοπίστηκαν σε συσκευές της Xiaomi, συμπεριλαμβανομένου του smartwatch S3 της εταιρείας, κατά τη διάρκεια παρουσίασής του σε ένα σημαντικό συνέδριο κυβερνοασφάλειας.
Δείτε επίσης: Το Oppo Watch 2 έρχεται με παρακολούθηση αρτηριακής πίεσης
Η έρευνα πραγματοποιήθηκε στο πλαίσιο μιας συνεργατικής εκδήλωσης ασφαλείας, όπου ερευνητές και κατασκευαστές συνεργάζονται για τον εντοπισμό και την αντιμετώπιση ευπαθειών σε συσκευές.
Η συγκεκριμένη μελέτη ασφαλείας διεξήχθη κατά τη διάρκεια της εκδήλωσης "Hard Pwn" του συνεδρίου τον Νοέμβριο του 2024, όπου ανεξάρτητοι ερευνητές ασφαλείας συγκεντρώθηκαν για να εξετάσουν διάφορα καταναλωτικά ηλεκτρονικά προϊόντα για ενδεχόμενες ευπάθειες.
Η εκδήλωση, η οποία πραγματοποιείται ετησίως στην Ολλανδία και τις Ηνωμένες Πολιτείες, συγκεντρώνει ειδικούς στην ασφάλεια και κατασκευαστές συσκευών σε ένα συνεργατικό περιβάλλον με στόχο τη βελτίωση της ασφάλειας υλικού. Κατά τη διάρκεια της πολυήμερης εκδήλωσης, οι ερευνητές είχαν στη διάθεσή τους εξοπλισμό επαγγελματικού επιπέδου, προκειμένου να διεξάγουν τις αναλύσεις τους στο υλικό.
Η μορφή της εκδήλωσης επιτρέπει στους ειδικούς ασφαλείας να συνεργάζονται άμεσα με εκπροσώπους των κατασκευαστών για τον εντοπισμό ευπαθειών και την αναφορά ευρημάτων που μπορούν να ενισχύσουν την ασφάλεια των συσκευών.
Δείτε ακόμα: Samsung: Νέα λειτουργία επέκτασης μπαταρίας στο Galaxy Watch
Η εκδήλωση του 2024 επικεντρώθηκε συγκεκριμένα σε προϊόντα της Xiaomi, όπως τα fitness trackers Mi Band, τα έξυπνα ρολόγια, τα ακουστικά και άλλες καταναλωτικές ηλεκτρονικές συσκευές. Τα προηγούμενα χρόνια έχουν πραγματοποιηθεί παρόμοιες συνεργατικές αναλύσεις ασφαλείας σε συσκευές μεγάλων τεχνολογικών εταιρειών, όπως τα προϊόντα Oculus της Meta και το οικοσύστημα Nest της Google.
Ο Sergei Volokitin, ο οποίος ειδικεύεται στην ανάλυση ασφάλειας χαμηλού επιπέδου και ασχολείται με ανεξάρτητη έρευνα ασφαλείας παράλληλα με συμμετοχή σε προγράμματα bug bounty και παροχή συμβουλευτικών υπηρεσιών ασφάλειας, επικεντρώθηκε κατά τη διάρκεια της εκδήλωσης σε δύο βασικές συσκευές της Xiaomi.
Σοβαρές ευπάθειες ανακαλύφθηκαν σε Xiaomi Smartwatch
Ξεκινώντας με την ανάλυση ενός εξωτερικού συστήματος κάμερας, ο ερευνητής διαπίστωσε ότι τα καταγεγραμμένα βίντεο αποθηκεύονταν σε μορφή απλού κειμένου στο σύστημα αρχείων της συσκευής, γεγονός που θα μπορούσε να επιτρέψει σε κακόβουλους παράγοντες να ανακτήσουν το οπτικοακουστικό υλικό.
Η ανάλυση της κάμερας αποκάλυψε και άλλες ανησυχίες ασφαλείας πέραν της μη κρυπτογραφημένης αποθήκευσης. Συγκεκριμένα, ο ερευνητής εντόπισε ότι τα διακριτικά ασφαλείας (security tokens) που χρησιμοποιούνται για επικοινωνία με τον εξυπηρετητή backend, ήταν αποθηκευμένα σε προσβάσιμα σημεία του συστήματος αρχείων της συσκευής.
Αυτά τα διακριτικά θα μπορούσαν ενδεχομένως να εκμεταλλευτούν από εισβολείς που αποκτούν φυσική πρόσβαση στη συσκευή. Και τα δύο τρωτά σημεία αναφέρθηκαν στην Xiaomi και η εταιρεία αναγνώρισε τα ευρήματα ασφαλείας.
Μετά την έρευνα για την κάμερα, ο ειδικός ασφαλείας έστρεψε την προσοχή του στο smartwatch S3 της Xiaomi, σημειώνοντας ότι η συσκευή παρουσίαζε ενδιαφέρουσες προκλήσεις ασφαλείας λόγω της περιορισμένης υποστήριξης εφαρμογών τρίτων.
Δείτε επίσης: Οι παγκόσμιες αποστολές smartwatch μειώθηκαν για πρώτη φορά
Βάσει των παραπάνω, γίνεται φανερό ότι ακόμη και μεγάλες εταιρείες τεχνολογίας, όπως η Xiaomi, ενδέχεται να παρουσιάζουν σοβαρές ελλείψεις στην ασφάλεια των συσκευών τους — ειδικά σε επίπεδο υλικού και συστήματος αρχείων. Η υπόθεση αυτή υπογραμμίζει την ανάγκη για αυστηρότερα πρότυπα ασφάλειας στην ανάπτυξη υλικού και λογισμικού, καθώς και τη σημασία της συνεχούς αξιολόγησης από ανεξάρτητους ειδικούς.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Σοβαρές ευπάθειες ανακαλύφθηκαν σε Xiaomi Smartwatch
https://www.secnews.gr/651448/xiaomi-smartwatch-paraviastike-xrisimopoiontas-touch-point/
Jun 19th 2025, 13:10
by Absenta Mia
Ο ερευνητής ασφαλείας Sergei Volokitin παρουσίασε ευρήματα σχετικά με ευπάθειες υλικού που εντοπίστηκαν σε συσκευές της Xiaomi, συμπεριλαμβανομένου του smartwatch S3 της εταιρείας, κατά τη διάρκεια παρουσίασής του σε ένα σημαντικό συνέδριο κυβερνοασφάλειας.
Δείτε επίσης: Το Oppo Watch 2 έρχεται με παρακολούθηση αρτηριακής πίεσης
Η έρευνα πραγματοποιήθηκε στο πλαίσιο μιας συνεργατικής εκδήλωσης ασφαλείας, όπου ερευνητές και κατασκευαστές συνεργάζονται για τον εντοπισμό και την αντιμετώπιση ευπαθειών σε συσκευές.
Η συγκεκριμένη μελέτη ασφαλείας διεξήχθη κατά τη διάρκεια της εκδήλωσης "Hard Pwn" του συνεδρίου τον Νοέμβριο του 2024, όπου ανεξάρτητοι ερευνητές ασφαλείας συγκεντρώθηκαν για να εξετάσουν διάφορα καταναλωτικά ηλεκτρονικά προϊόντα για ενδεχόμενες ευπάθειες.
Η εκδήλωση, η οποία πραγματοποιείται ετησίως στην Ολλανδία και τις Ηνωμένες Πολιτείες, συγκεντρώνει ειδικούς στην ασφάλεια και κατασκευαστές συσκευών σε ένα συνεργατικό περιβάλλον με στόχο τη βελτίωση της ασφάλειας υλικού. Κατά τη διάρκεια της πολυήμερης εκδήλωσης, οι ερευνητές είχαν στη διάθεσή τους εξοπλισμό επαγγελματικού επιπέδου, προκειμένου να διεξάγουν τις αναλύσεις τους στο υλικό.
Η μορφή της εκδήλωσης επιτρέπει στους ειδικούς ασφαλείας να συνεργάζονται άμεσα με εκπροσώπους των κατασκευαστών για τον εντοπισμό ευπαθειών και την αναφορά ευρημάτων που μπορούν να ενισχύσουν την ασφάλεια των συσκευών.
Δείτε ακόμα: Samsung: Νέα λειτουργία επέκτασης μπαταρίας στο Galaxy Watch
Η εκδήλωση του 2024 επικεντρώθηκε συγκεκριμένα σε προϊόντα της Xiaomi, όπως τα fitness trackers Mi Band, τα έξυπνα ρολόγια, τα ακουστικά και άλλες καταναλωτικές ηλεκτρονικές συσκευές. Τα προηγούμενα χρόνια έχουν πραγματοποιηθεί παρόμοιες συνεργατικές αναλύσεις ασφαλείας σε συσκευές μεγάλων τεχνολογικών εταιρειών, όπως τα προϊόντα Oculus της Meta και το οικοσύστημα Nest της Google.
Ο Sergei Volokitin, ο οποίος ειδικεύεται στην ανάλυση ασφάλειας χαμηλού επιπέδου και ασχολείται με ανεξάρτητη έρευνα ασφαλείας παράλληλα με συμμετοχή σε προγράμματα bug bounty και παροχή συμβουλευτικών υπηρεσιών ασφάλειας, επικεντρώθηκε κατά τη διάρκεια της εκδήλωσης σε δύο βασικές συσκευές της Xiaomi.
Σοβαρές ευπάθειες ανακαλύφθηκαν σε Xiaomi Smartwatch
Ξεκινώντας με την ανάλυση ενός εξωτερικού συστήματος κάμερας, ο ερευνητής διαπίστωσε ότι τα καταγεγραμμένα βίντεο αποθηκεύονταν σε μορφή απλού κειμένου στο σύστημα αρχείων της συσκευής, γεγονός που θα μπορούσε να επιτρέψει σε κακόβουλους παράγοντες να ανακτήσουν το οπτικοακουστικό υλικό.
Η ανάλυση της κάμερας αποκάλυψε και άλλες ανησυχίες ασφαλείας πέραν της μη κρυπτογραφημένης αποθήκευσης. Συγκεκριμένα, ο ερευνητής εντόπισε ότι τα διακριτικά ασφαλείας (security tokens) που χρησιμοποιούνται για επικοινωνία με τον εξυπηρετητή backend, ήταν αποθηκευμένα σε προσβάσιμα σημεία του συστήματος αρχείων της συσκευής.
Αυτά τα διακριτικά θα μπορούσαν ενδεχομένως να εκμεταλλευτούν από εισβολείς που αποκτούν φυσική πρόσβαση στη συσκευή. Και τα δύο τρωτά σημεία αναφέρθηκαν στην Xiaomi και η εταιρεία αναγνώρισε τα ευρήματα ασφαλείας.
Μετά την έρευνα για την κάμερα, ο ειδικός ασφαλείας έστρεψε την προσοχή του στο smartwatch S3 της Xiaomi, σημειώνοντας ότι η συσκευή παρουσίαζε ενδιαφέρουσες προκλήσεις ασφαλείας λόγω της περιορισμένης υποστήριξης εφαρμογών τρίτων.
Δείτε επίσης: Οι παγκόσμιες αποστολές smartwatch μειώθηκαν για πρώτη φορά
Βάσει των παραπάνω, γίνεται φανερό ότι ακόμη και μεγάλες εταιρείες τεχνολογίας, όπως η Xiaomi, ενδέχεται να παρουσιάζουν σοβαρές ελλείψεις στην ασφάλεια των συσκευών τους — ειδικά σε επίπεδο υλικού και συστήματος αρχείων. Η υπόθεση αυτή υπογραμμίζει την ανάγκη για αυστηρότερα πρότυπα ασφάλειας στην ανάπτυξη υλικού και λογισμικού, καθώς και τη σημασία της συνεχούς αξιολόγησης από ανεξάρτητους ειδικούς.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz