Gebruikers van de "slimme" weegschaal van fabrikant Yunmai zijn gewaarschuwd, verschillende kwetsbaarheden in de API (programmeerinterface) waar het apparaat gebruik van maakt, maken het mogelijk voor een aanvaller om accounts over te nemen en informatie van gebruikers te achterhalen, waaronder namen, foto's, BMI, buikvet en gewichtsontwikkeling. De Android-app van de weegschaal heeft meer dan een half miljoen downloads.
Via de app kunnen gebruikers hun gewicht aflezen, alsmede de gewichtsontwikkeling gedurende een bepaalde periode zien. Ook geeft de app zaken weer als vetpercentage, BMI en buikvet. Het is mogelijk om zestien personen aan een gebruikersaccount toe te voegen. Elke gebruiker kan informatie toevoegen zoals geslacht, naam, leeftijd, lengte, relatiestatus en profielfoto.
De app kent twee soorten accounts. Primaire accounts die via een registratieproces worden aangemaakt en member/child-accounts die een ingelogd primair account aanmaakt. Door deze "child" accounts is het mogelijk om de data van verschillende gezinsleden te scheiden wanneer meer dan één iemand dezelfde weegschaal gebruikt.
Onderzoekers van securitybedrijf Fortbridge ontdekten dat het mogelijk is om het primaire account-id van andere gebruikers te achterhalen via een bruteforce-aanval. Met deze id's kan de aanvaller vervolgens een child-account aan het account van andere gebruikers toevoegen. Dit is mogelijk omdat de API geen autorisatie toepast. Bij het aanmaken van een child-account lekt de server twee tokens die zijn te gebruiken om het primaire account van een gebruiker over te nemen.
Daarnaast blijkt dat het mogelijk is om primaire accounts via de "wachtwoord vergeten" optie over te nemen. Wanneer een gebruiker zijn wachtwoord reset ontvangt hij een e-mail met een zescijferige pincode. Hiervoor genereert de app een apart token. Wanneer er opnieuw een wachtwoordreset wordt aangevraagd blijft het eerdere gegenereerde token geldig. Een aanvaller kan zo oneindig wachtwoordresets uitvoeren tot hij de zescijferige pincode via een bruteforce-aanval heeft geraden.
Yunmai werd vorig jaar september en oktober over de kwetsbaarheden ingelicht. Het bedrijf kwam volgens de onderzoekers met een stille patch voor het probleem van de ‘forgot password’ tokens, maar deze oplossing blijkt te omzeilen. Daarnaast zijn verschillende andere kwetsbaarheden helemaal niet opgelost. Fortbridge vroeg Yunmai begin mei om een reactie, maar kreeg geen antwoord. Daarop zijn nu de bevindingen openbaar gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.