Die Livall-Smart-Helme, die bei Skifahrern und Bikern wegen ihrer integrierten Lautsprecher, Mikrofone und Konnektivitätsfunktionen, die Gruppenkommunikation und Standortfreigabe ermöglichen, beliebt sind, wiesen eine kritische Sicherheitslücke auf. Diese Schwachstelle ermöglichte es Angreifern, unbemerkt den Standort der Helmträger zu verfolgen und ihre Gruppen-Audiochats abzuhören. Das Hauptproblem lag in einer einfachen, aber signifikanten Schwachstelle in den Smartphone-Apps von Livall, die mit der Verwaltung von Gruppenmitgliedschaften zusammenhing. Speziell waren Gruppen durch die Eingabe eines sechsstelligen numerischen Codes zugänglich, der nicht ausreichend zufällig war, was es leicht machte, ihn durch Brute-Force-Methode zu erraten und somit unbefugten Zugriff auf jegliche Gruppenkommunikation und Standortdaten zu ermöglichen.
Pen Test Partners, ein auf Cybersicherheitstests spezialisiertes Unternehmen aus Großbritannien, entdeckte diese Lücke und berichtete, dass durch die Ausnutzung dieser Schwachstelle jeder unbemerkt einer Gruppe beitreten und auf Echtzeit-Standortdaten zugreifen sowie Gruppen-Audiochats abhören konnte, ohne entdeckt zu werden, es sei denn, ein Benutzer überprüfte manuell die Liste der Gruppenmitglieder. Livall wurde von Pen Test Partners kontaktiert und bestätigte nach einigen anfänglichen Kommunikationsschwierigkeiten, dass sie die Schwachstelle beheben würden. Das Unternehmen aktualisierte daraufhin die App, erhöhte die Zufälligkeit der Gruppencodes durch die Einbeziehung von Buchstaben und fügte Warnungen hinzu, wenn neue Mitglieder einer Gruppe beitraten. Sie ermöglichten es den Benutzern auch, die Standortfreigabe nach Belieben auszuschalten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: