Slimme fiets- en skihelmen van fabrikant Livall lekken de real-time locatiegegevens van gebruikers en maken het mogelijk om hen af te luisteren. Dat blijkt uit onderzoek van securitybedrijf Pen Test Partners. De helmfabrikant heeft inmiddels nieuwe versies van de eigen apps uitgebracht om het probleem te verhelpen.
De helmen zijn voorzien van een bluetooth-speaker en microfoon en kunnen via de bijbehorende app de locatie doorgeven. Via de app is het mogelijk om een groep aan te maken waarin de locatie van deelnemers wordt getoond en het mogelijk is om gesprekken te voeren. Deelname aan een groep bestaat uit een zescijferige code. Pen Test Partners ontdekte dat het eenvoudig is om alle mogelijke cijfercombinaties via een bruteforce-aanval te proberen en zo toegang tot willekeurige groepen te krijgen.
Gebruikers worden namelijk niet geïnformeerd wanneer iemand aan een groep wordt toegevoegd. "Het was daarom eenvoudig om aan elke willekeurige groep deel te nemen en zo toegang tot de locatie van gebruikers te krijgen en de mogelijkheid om naar elke audiocommunicatie van gebruikers te luisteren", zegt onderzoeker Ceri Coburn. De enige manier waardoor een malafide gebruiker kon worden gedetecteerd was wanneer een legitieme gebruiker het aantal groepsdeelnemers controleerde.
Livall werd op 7 januari over het probleem ingelicht, maar Pen Test Partners stelt dat de communicatie daarna stokte. Pas nadat de onderzoekers naar de media stapten en die het bedrijf benaderden, maakte Livall begin deze maand bekend dat het nu gebruikmaakt van codes bestaande uit zes alfanumerieke tekens, wat een bruteforce-aanval stukken lastiger maakt. Gebruikers moeten hiervoor wel hun app updaten. De fietshelm-app telt een miljoen gebruikers, de skihelm-app een aantal duizend.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.