Massenhafte Kontenübernahme bei smarten Yunmai Waagen möglich

Sicherheit (Pexels, allgemeine Nutzung)[English]Vom chinesischen Hersteller Yunmai wurden auch in Deutschland smarte Körperfettwaagen angeboten. Diese lassen sich per Bluetooth mit einer App auf dem Smartphone koppeln, so dass die persönlichen Daten mehrerer Personen in persönlichen Profilen gespeichert werden können. Leider hapert es mit der Sicherheit, wie Sicherheitsexperten festgestellt haben. Das Yunmai API ermöglicht die massenhafte Kontenübernahme oder die Umgehung der Hersteller-Restriktionen.


Anzeige

Die Yunmai Körperfett-Waage

Ich habe mal kurz geschaut, auf Amazon wurde und werden Yunmai Körperfett-Waagen angeboten, wobei manches Modell inzwischen aber ausverkauft ist. Auf Ebay habe ich solche Waagen zu Preisen zwischen 60 und 90 Euro gesehen – im Internet sind mir auch Hinweise untergekommen, dass Exemplare der Waage gibt, die im China-Versand für 22 Euro angeboten wurden. Im Yunmai Store von Amazon ist ein Modell aktuell für 52 Euro im Angebot.

Yunmai Körperfett-Waage

Die Yunmai Waagen besitzen eine Bluetooth-Schnittstelle und eine API, die von Smartphone aus Android und iOS angesprochen werden kann. Die mobile Anwendung ermöglicht es den Gerätebesitzern ihr Gewicht, ein Diagramm mit dem zeitlichen Verlauf, zusammen mit 12 anderen Indizes wie BMI, Körperfettanteil, viszerales Fett, etc. anzeigen zu lassen. Darüber hinaus können Gerätebesitzer Familienmitglieder zu ihrem Konto hinzufügen und löschen. Für jeden Benutzer lassen sich Informationen wie Geschlecht, Name, Alter, Größe, Beziehung und Profilfoto hinzufügen. Über die Android- oder iOS-Apps können Profile für bis zu 16 Personen angelegt werden.

Auf Testberichte ist im Dezember 2018 ein Bericht über eine solche Waage erschienen, der eine ausschließliche englische App und ungenaue Messwerte bekrittelt. Auch wurde bemängelt, dass die App zu viele persönliche Daten verlangt. Ich gehe davon aus, dass Waagen dieses Herstellers, der übrigens eine Tochter des chinesischen Herstellers Huawei ist, auch in einigen deutschen Haushalten stehen.

Yunmai-API erlaubt Kontenübernahme

Sicherheitsforscher haben sich die Yunmai-Apps für Android und iOS der Waagen mal genauer angesehen und im Rahmen eines internen IoT-Forschungsprojekts einen Pentest der Android- und iOS-Anwendung durchgeführt. Dabei sind sie auf gravierende Schwachstellen in der API gestoßen, wie folgender Tweet ausführt.

Laut diesem Bericht von FORTHBRIDGE wurde gleich fünf Schwachstellen entdeckt und dann an den Hersteller gemeldet. Hier die Liste der Probleme:

  1. Umgehung des Limits von 16 Familienmitgliedern pro Hauptkonto
  2. UserID Aufzählung
  3. Unwirksame Berechtigungsprüfungen
  4. Informationsleck
  5. Übernahme des Kontos durch die "Passwort-Reset"-Funktion

Werden die unter 2, 3 und 4 genannten Schwachstellen kombiniert, lässt sich eine massenhafte Kontenübernahme erreichen. Im Bericht ist ausgeführt, dass über ein abgefragtes "accessToken" und "refreshToken" die Möglichkeit bietet, zwischen den Konten der Familienmitglieder zu wechseln und alle deren Daten abzufragen. Details zu den Schwachstellen lassen sich dem Bericht entnehmen.


Anzeige

Zwischen September und Oktober 2021 haben die Sicherheitsforscher die gefundenen Schwachstellen an das Support-Team des Herstellers gemeldet. weitergegeben. Bezüglich der Schwachstelle Nummer 5 wurde vom Hersteller stillschweigend eines Korrektur vorgenommen. Die Sicherheitsforscher gehen aber davon aus, dass die benötigten Codes für die Tokens, die im Bereich von 165.000 und 175.000 liegen, per Brut-Force geknackt und und dann zum Zurücksetzen des Passworts eines Konto über die Funktion "Passwort vergessen" zu verwenden. Damit wäre die Kontenübernahme weiterhin möglich. Die Schwachstellen und 2 und 3 sind immer noch offen. Nachdem eine E-Mail vom 5. Mai 2022 ohne Antwort blieb, wurden die Erkenntnisse sieben Monate nach der Erstmitteilung an den Hersteller im Blog-Beitrag mit allen Details veröffentlicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit Geräte, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.