"Slimme" weegschaal lekt privégegevens van honderdduizenden gebruikers
Gebruikers van de "slimme" weegschaal van fabrikant Yunmai zijn gewaarschuwd, verschillende kwetsbaarheden in de API (programmeerinterface) waar het apparaat gebruik van maakt, maken het mogelijk voor een aanvaller om accounts over te nemen en informatie van gebruikers te achterhalen, waaronder namen, foto's, BMI, buikvet en gewichtsontwikkeling. De Android-app van de weegschaal heeft meer dan een half miljoen downloads.
Via de app kunnen gebruikers hun gewicht aflezen, alsmede de gewichtsontwikkeling gedurende een bepaalde periode zien. Ook geeft de app zaken weer als vetpercentage, BMI en buikvet. Het is mogelijk om zestien personen aan een gebruikersaccount toe te voegen. Elke gebruiker kan informatie toevoegen zoals geslacht, naam, leeftijd, lengte, relatiestatus en profielfoto.
De app kent twee soorten accounts. Primaire accounts die via een registratieproces worden aangemaakt en member/child-accounts die een ingelogd primair account aanmaakt. Door deze "child" accounts is het mogelijk om de data van verschillende gezinsleden te scheiden wanneer meer dan één iemand dezelfde weegschaal gebruikt.
Onderzoekers van securitybedrijf Fortbridge ontdekten dat het mogelijk is om het primaire account-id van andere gebruikers te achterhalen via een bruteforce-aanval. Met deze id's kan de aanvaller vervolgens een child-account aan het account van andere gebruikers toevoegen. Dit is mogelijk omdat de API geen autorisatie toepast. Bij het aanmaken van een child-account lekt de server twee tokens die zijn te gebruiken om het primaire account van een gebruiker over te nemen.
Daarnaast blijkt dat het mogelijk is om primaire accounts via de "wachtwoord vergeten" optie over te nemen. Wanneer een gebruiker zijn wachtwoord reset ontvangt hij een e-mail met een zescijferige pincode. Hiervoor genereert de app een apart token. Wanneer er opnieuw een wachtwoordreset wordt aangevraagd blijft het eerdere gegenereerde token geldig. Een aanvaller kan zo oneindig wachtwoordresets uitvoeren tot hij de zescijferige pincode via een bruteforce-aanval heeft geraden.
Yunmai werd vorig jaar september en oktober over de kwetsbaarheden ingelicht. Het bedrijf kwam volgens de onderzoekers met een stille patch voor het probleem van de ‘forgot password’ tokens, maar deze oplossing blijkt te omzeilen. Daarnaast zijn verschillende andere kwetsbaarheden helemaal niet opgelost. Fortbridge vroeg Yunmai begin mei om een reactie, maar kreeg geen antwoord. Daarop zijn nu de bevindingen openbaar gemaakt.
Ik zou zeggen koester je analoge weegschaal,dan voel je je een stuk beter.
maak je niet druk over slimme devices,en bij-komende problemen zoals je privacy en gegevens verlies
slim is als je je analoge devices koesterd
The Matrix
Dan moet je zelf je gewicht en meetmoment opschrijven, en plotjes tekenen en zelf je BMI uitrekenen.
Niks mis mee... Maar alles moet toch met een app tegenwoordig? Is veel "makkelijker".
Wat dacht je van de winkel apps? Laatst bij de Praxis bouwmarkt voor paar potten verf met 35% korting. Bij de kassa, even uw Praxis app scannen meneer. Die heb ik niet mevrouw... Sorry, maar dan krijgt u niet de korting. Dus verplicht je gegevens beschikbaar stellen anders geen korting, en wat ze verder nog doen zoals misschien bij de slimme weegschaal.
P.S. Geen app op je foon is geen korting, dat is pure discriminatie. Of, ik heb geen mobieltje, of ik heb geen smartphone, of, ik wil die app niet op mijn foon.
Ik zou zeggen koester je analoge weegschaal,dan voel je je een stuk beter.
maak je niet druk over slimme devices,en bij-komende problemen zoals je privacy en gegevens verlies
slim is als je je analoge devices koesterd
The Matrix
Nee hoor ik heb gewoon een normale weegschaal thuis, werkt prima. Zou niet weten waarom dit verboden zou moeten zijn. Ver gezochte opmerking.
Moet eerlijk zijn dat ik ook niet zou weten waarom een slimme weegschaal zo veel handiger is.
Maar goed.
The Lord of the Rings.
Niks mis mee... Maar alles moet toch met een app tegenwoordig? Is veel "makkelijker".
Wat dacht je van de winkel apps? Laatst bij de Praxis bouwmarkt voor paar potten verf met 35% korting. Bij de kassa, even uw Praxis app scannen meneer. Die heb ik niet mevrouw... Sorry, maar dan krijgt u niet de korting. Dus verplicht je gegevens beschikbaar stellen anders geen korting, en wat ze verder nog doen zoals misschien bij de slimme weegschaal.
P.S. Geen app op je foon is geen korting, dat is pure discriminatie. Of, ik heb geen mobieltje, of ik heb geen smartphone, of, ik wil die app niet op mijn foon.
Tip: dien een klacht in bij de AP over prijsdiscriminatie van mensen die hun privacy beschermen. www.autoriteitpersoonsgegevens.nl
Een briefje zou genoeg moeten zijn. Wel datum van het incident vermelden.
Dat zoveel bedrijven apps leveren die data in de cloud opslaan en het van daaruit weer aan je ter inzage geven bevat een sterke suggestie dat ze die data maar al te graag zelf willen gebruiken. Dat is een gegevenslek op zich.
Ok, ik laat mezelf wel uit.
zitten. Hoe ga je de klant uitleggen dat het alleen functioneert als de weegschaal aan dezelfde wifi geconnect is als
de telefoon? En wat dan als dat een veilig gastennetwerk is wat geen communicatie tussen de stations toelaat?
Een IT'er kan het werkend krijgen, maar voor een algemeen product wat je bij de Blokker kunt verkopen en wat iedereen
simpel werkend kan maken is dit ECHT geen oplossing.
Niks mis mee... Maar alles moet toch met een app tegenwoordig? Is veel "makkelijker".
Wat dacht je van de winkel apps? Laatst bij de Praxis bouwmarkt voor paar potten verf met 35% korting. Bij de kassa, even uw Praxis app scannen meneer. Die heb ik niet mevrouw... Sorry, maar dan krijgt u niet de korting. Dus verplicht je gegevens beschikbaar stellen anders geen korting, en wat ze verder nog doen zoals misschien bij de slimme weegschaal.
P.S. Geen app op je foon is geen korting, dat is pure discriminatie. Of, ik heb geen mobieltje, of ik heb geen smartphone, of, ik wil die app niet op mijn foon.
Niks mis mee... Maar alles moet toch met een app tegenwoordig? Is veel "makkelijker".
Wat dacht je van de winkel apps? Laatst bij de Praxis bouwmarkt voor paar potten verf met 35% korting. Bij de kassa, even uw Praxis app scannen meneer. Die heb ik niet mevrouw... Sorry, maar dan krijgt u niet de korting. Dus verplicht je gegevens beschikbaar stellen anders geen korting, en wat ze verder nog doen zoals misschien bij de slimme weegschaal.
.
Als je daar onverwacht mee geconfronteerd wordt(groot prijsverschil), gewoon alles bij de kassa laten staan zijne statement en weg lopen als ze dat z.g.n voordeel niet alsnog toepassen, daar die bouwmarkten als Gamma,Karwei,Praxis gewoon shitshows zijn die reiken tot in de brievenbus met hun oud papier.
Bouwmarkten waar je enkel een redelijke prijs betaald als je tijd verbrast aan die tijd gebonden acties en shit met nodige gemaakte plastic pasjes, apps, folders of wat voor een een troep, gewoon zo mogelijk links laten liggen, en enkel bezoeken voor specifiek product aanbod, misschien sturen ze hun verdien model nog eens bij, en loop je nog eens bij zo'n winkel binnen wetende dat wat je ook koopt, dat de prijs redelijk in verhouding is t.o.v concurrentie, i.p.v opgenaaid te worden door een actie, om dat zogenaamde voordeel vervolgens met de overige producten die te hoog in hun prijs zitten (die ook wachten op een een z.g.n actie) het weer teniet te doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
