El Lenovo Watch X es un reloj inteligente muy económico que el conocido fabricante puso a la venta solo en China. Sus menos de 50 euros de precio hizo que muchos usuarios se interesaran por él y lo compraran. Sin embargo, parece que este smartwatch tiene múltiples vulnerabilidades a nivel de seguridad. Ahora Lenovo ha comunicado que lanzará un parche para solucionarlas todas.
Según ha publicado Erez Yalon, jefe de la división de seguridad de Checkmarx, el Lenovo Watch X no utiliza ningún sistema de encriptación para enviar datos desde la aplicación al servidor. Esto se traduce en que cualquiera con conocimientos pueda ver la dirección de correo electrónico registrada y su contraseña fácilmente. Además, también da acceso a todos los datos que se guardan en el reloj.
Según Yalon, la API que utiliza el reloj no tienen ningún tipo de seguridad. Esto permite restablecer la contraseña de cualquier persona simplemente conociendo el nombre de usuario. También descubrió que el reloj estaba compartiendo su geolocalización con un servidor en China. De hecho, el Lenovo Watch X identificó su ubicación incluso antes de registrar su cuenta para utilizarlo, algo que le extrañó.
Yalon también ha explicado que las vulnerabilidades van más allá de la API. Descubrió que también es posible manipular el reloj a través de la conexión Bluetooth enviando solicitudes especialmente diseñadas para ello. De hecho, fue capaz de simular una llamada telefónica en el reloj utilizando un comando Bluetooth malicioso. Con este mismo método también pudo configurar la alarma para que se dispare una y otra vez.
Lenovo ya trabaja en una solución
Al parecer, responsables de Lenovo no han podido desmentir estos fallos. Andrew Barron, portavoz de la empresa, ha comentado que «el Watch X fue diseñado para el mercado Chino y solo está disponible en canales de venta muy limitados en China». También comentó que el equipo de seguridad de la empresa ha estado trabajando en una actualización que solucionará todas las vulnerabilidades identificadas por Yalon. El parche se lanzará esta misma semana.
Según ha comentado Yalon, solo el cifrado del tráfico entre el reloj, la aplicación Android y el servidor evitaría gran parte de los fallos detectados. Al menos eliminaría la capacidad de los usuarios malintencionados para enviar comandos al reloj, falsificar llamadas y configurar alarmas.
Vía | Techcrunch
