image

"Slimme" weegschaal lekt privégegevens van honderdduizenden gebruikers

donderdag 9 juni 2022, 16:00 door Redactie, 11 reacties

Gebruikers van de "slimme" weegschaal van fabrikant Yunmai zijn gewaarschuwd, verschillende kwetsbaarheden in de API (programmeerinterface) waar het apparaat gebruik van maakt, maken het mogelijk voor een aanvaller om accounts over te nemen en informatie van gebruikers te achterhalen, waaronder namen, foto's, BMI, buikvet en gewichtsontwikkeling. De Android-app van de weegschaal heeft meer dan een half miljoen downloads.

Via de app kunnen gebruikers hun gewicht aflezen, alsmede de gewichtsontwikkeling gedurende een bepaalde periode zien. Ook geeft de app zaken weer als vetpercentage, BMI en buikvet. Het is mogelijk om zestien personen aan een gebruikersaccount toe te voegen. Elke gebruiker kan informatie toevoegen zoals geslacht, naam, leeftijd, lengte, relatiestatus en profielfoto.

De app kent twee soorten accounts. Primaire accounts die via een registratieproces worden aangemaakt en member/child-accounts die een ingelogd primair account aanmaakt. Door deze "child" accounts is het mogelijk om de data van verschillende gezinsleden te scheiden wanneer meer dan één iemand dezelfde weegschaal gebruikt.

Onderzoekers van securitybedrijf Fortbridge ontdekten dat het mogelijk is om het primaire account-id van andere gebruikers te achterhalen via een bruteforce-aanval. Met deze id's kan de aanvaller vervolgens een child-account aan het account van andere gebruikers toevoegen. Dit is mogelijk omdat de API geen autorisatie toepast. Bij het aanmaken van een child-account lekt de server twee tokens die zijn te gebruiken om het primaire account van een gebruiker over te nemen.

Daarnaast blijkt dat het mogelijk is om primaire accounts via de "wachtwoord vergeten" optie over te nemen. Wanneer een gebruiker zijn wachtwoord reset ontvangt hij een e-mail met een zescijferige pincode. Hiervoor genereert de app een apart token. Wanneer er opnieuw een wachtwoordreset wordt aangevraagd blijft het eerdere gegenereerde token geldig. Een aanvaller kan zo oneindig wachtwoordresets uitvoeren tot hij de zescijferige pincode via een bruteforce-aanval heeft geraden.

Yunmai werd vorig jaar september en oktober over de kwetsbaarheden ingelicht. Het bedrijf kwam volgens de onderzoekers met een stille patch voor het probleem van de ‘forgot password’ tokens, maar deze oplossing blijkt te omzeilen. Daarnaast zijn verschillende andere kwetsbaarheden helemaal niet opgelost. Fortbridge vroeg Yunmai begin mei om een reactie, maar kreeg geen antwoord. Daarop zijn nu de bevindingen openbaar gemaakt.

Reacties (11)
09-06-2022, 16:43 door Anoniem
Is een analoge weegschaal verboden?

Ik zou zeggen koester je analoge weegschaal,dan voel je je een stuk beter.

maak je niet druk over slimme devices,en bij-komende problemen zoals je privacy en gegevens verlies

slim is als je je analoge devices koesterd

The Matrix
09-06-2022, 17:13 door Anoniem
Wat was er mis met een gewone weegschaal?
09-06-2022, 22:34 door Anoniem
Door Anoniem: Wat was er mis met een gewone weegschaal?

Dan moet je zelf je gewicht en meetmoment opschrijven, en plotjes tekenen en zelf je BMI uitrekenen.
09-06-2022, 22:42 door Anoniem
Door Anoniem: Wat was er mis met een gewone weegschaal?

Niks mis mee... Maar alles moet toch met een app tegenwoordig? Is veel "makkelijker".

Wat dacht je van de winkel apps? Laatst bij de Praxis bouwmarkt voor paar potten verf met 35% korting. Bij de kassa, even uw Praxis app scannen meneer. Die heb ik niet mevrouw... Sorry, maar dan krijgt u niet de korting. Dus verplicht je gegevens beschikbaar stellen anders geen korting, en wat ze verder nog doen zoals misschien bij de slimme weegschaal.

P.S. Geen app op je foon is geen korting, dat is pure discriminatie. Of, ik heb geen mobieltje, of ik heb geen smartphone, of, ik wil die app niet op mijn foon.
10-06-2022, 08:51 door Anoniem
Door Anoniem: Is een analoge weegschaal verboden?

Ik zou zeggen koester je analoge weegschaal,dan voel je je een stuk beter.

maak je niet druk over slimme devices,en bij-komende problemen zoals je privacy en gegevens verlies

slim is als je je analoge devices koesterd

The Matrix

Nee hoor ik heb gewoon een normale weegschaal thuis, werkt prima. Zou niet weten waarom dit verboden zou moeten zijn. Ver gezochte opmerking.
Moet eerlijk zijn dat ik ook niet zou weten waarom een slimme weegschaal zo veel handiger is.

Maar goed.
The Lord of the Rings.
10-06-2022, 09:41 door Anoniem
Door Anoniem:
Door Anoniem: Wat was er mis met een gewone weegschaal?

Niks mis mee... Maar alles moet toch met een app tegenwoordig? Is veel "makkelijker".

Wat dacht je van de winkel apps? Laatst bij de Praxis bouwmarkt voor paar potten verf met 35% korting. Bij de kassa, even uw Praxis app scannen meneer. Die heb ik niet mevrouw... Sorry, maar dan krijgt u niet de korting. Dus verplicht je gegevens beschikbaar stellen anders geen korting, en wat ze verder nog doen zoals misschien bij de slimme weegschaal.

P.S. Geen app op je foon is geen korting, dat is pure discriminatie. Of, ik heb geen mobieltje, of ik heb geen smartphone, of, ik wil die app niet op mijn foon.

Tip: dien een klacht in bij de AP over prijsdiscriminatie van mensen die hun privacy beschermen. www.autoriteitpersoonsgegevens.nl
Een briefje zou genoeg moeten zijn. Wel datum van het incident vermelden.
10-06-2022, 10:45 door Anoniem
Door Anoniem: Niks mis mee... Maar alles moet toch met een app tegenwoordig? Is veel "makkelijker".
Met een app hoeft ook niets mis te zijn, als die geen data naar externe servers stuurt die net zo goed locaal kunnen blijven. Het is heel goed mogelijk om een app te maken die met de weegschaal praat, zelf de gegevens opslaat en een voorziening heeft om die over te zetten naar je pc, zonder dat de gegevens ooit ergens anders dan op je eigen apparatuur belanden.

Dat zoveel bedrijven apps leveren die data in de cloud opslaan en het van daaruit weer aan je ter inzage geven bevat een sterke suggestie dat ze die data maar al te graag zelf willen gebruiken. Dat is een gegevenslek op zich.
10-06-2022, 14:37 door Anoniem
Bij nader onderzoek blijkt het niet om honderduizenden gebruikers te gaan maar slechts om enkele Amerikanen ..


Ok, ik laat mezelf wel uit.
10-06-2022, 15:34 door Anoniem
Door Anoniem:
Door Anoniem: Niks mis mee... Maar alles moet toch met een app tegenwoordig? Is veel "makkelijker".
Met een app hoeft ook niets mis te zijn, als die geen data naar externe servers stuurt die net zo goed locaal kunnen blijven. Het is heel goed mogelijk om een app te maken die met de weegschaal praat, zelf de gegevens opslaat en een voorziening heeft om die over te zetten naar je pc, zonder dat de gegevens ooit ergens anders dan op je eigen apparatuur belanden.
Nee dat is niet goed mogelijk. Dan heb je de randvoorwaarde dat die weegschaal en de telefoon op hetzelfde netwerk
zitten. Hoe ga je de klant uitleggen dat het alleen functioneert als de weegschaal aan dezelfde wifi geconnect is als
de telefoon? En wat dan als dat een veilig gastennetwerk is wat geen communicatie tussen de stations toelaat?
Een IT'er kan het werkend krijgen, maar voor een algemeen product wat je bij de Blokker kunt verkopen en wat iedereen
simpel werkend kan maken is dit ECHT geen oplossing.
10-06-2022, 17:18 door Anoniem
Door Anoniem:
Door Anoniem: Wat was er mis met een gewone weegschaal?

Niks mis mee... Maar alles moet toch met een app tegenwoordig? Is veel "makkelijker".

Wat dacht je van de winkel apps? Laatst bij de Praxis bouwmarkt voor paar potten verf met 35% korting. Bij de kassa, even uw Praxis app scannen meneer. Die heb ik niet mevrouw... Sorry, maar dan krijgt u niet de korting. Dus verplicht je gegevens beschikbaar stellen anders geen korting, en wat ze verder nog doen zoals misschien bij de slimme weegschaal.

P.S. Geen app op je foon is geen korting, dat is pure discriminatie. Of, ik heb geen mobieltje, of ik heb geen smartphone, of, ik wil die app niet op mijn foon.
Is de Praxis schuldig, omdat JIJ de reclame niet geheel leest?
14-06-2022, 09:15 door Anoniem
Door Anoniem:
Door Anoniem: Wat was er mis met een gewone weegschaal?

Niks mis mee... Maar alles moet toch met een app tegenwoordig? Is veel "makkelijker".

Wat dacht je van de winkel apps? Laatst bij de Praxis bouwmarkt voor paar potten verf met 35% korting. Bij de kassa, even uw Praxis app scannen meneer. Die heb ik niet mevrouw... Sorry, maar dan krijgt u niet de korting. Dus verplicht je gegevens beschikbaar stellen anders geen korting, en wat ze verder nog doen zoals misschien bij de slimme weegschaal.
.

Als je daar onverwacht mee geconfronteerd wordt(groot prijsverschil), gewoon alles bij de kassa laten staan zijne statement en weg lopen als ze dat z.g.n voordeel niet alsnog toepassen, daar die bouwmarkten als Gamma,Karwei,Praxis gewoon shitshows zijn die reiken tot in de brievenbus met hun oud papier.

Bouwmarkten waar je enkel een redelijke prijs betaald als je tijd verbrast aan die tijd gebonden acties en shit met nodige gemaakte plastic pasjes, apps, folders of wat voor een een troep, gewoon zo mogelijk links laten liggen, en enkel bezoeken voor specifiek product aanbod, misschien sturen ze hun verdien model nog eens bij, en loop je nog eens bij zo'n winkel binnen wetende dat wat je ook koopt, dat de prijs redelijk in verhouding is t.o.v concurrentie, i.p.v opgenaaid te worden door een actie, om dat zogenaamde voordeel vervolgens met de overige producten die te hoog in hun prijs zitten (die ook wachten op een een z.g.n actie) het weer teniet te doen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.