{"id":267041,"date":"2022-06-11T00:08:00","date_gmt":"2022-06-10T22:08:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=267041"},"modified":"2022-06-10T18:52:16","modified_gmt":"2022-06-10T16:52:16","slug":"massenhafte-kontenbernahme-bei-smarten-yunmai-waagen-mglich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/11\/massenhafte-kontenbernahme-bei-smarten-yunmai-waagen-mglich\/","title":{"rendered":"Massenhafte Kontenübernahme bei smarten Yunmai Waagen möglich"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Vom chinesischen Hersteller Yunmai wurden auch in Deutschland smarte K\u00f6rperfettwaagen angeboten. Diese lassen sich per Bluetooth mit einer App auf dem Smartphone koppeln, so dass die pers\u00f6nlichen Daten mehrerer Personen in pers\u00f6nlichen Profilen gespeichert werden k\u00f6nnen. Leider hapert es mit der Sicherheit, wie Sicherheitsexperten festgestellt haben. Das Yunmai API erm\u00f6glicht die massenhafte Konten\u00fcbernahme oder die Umgehung der Hersteller-Restriktionen.<\/p>\n

<\/p>\n

Die Yunmai K\u00f6rperfett-Waage<\/h2>\n

\"\"Ich habe mal kurz geschaut, auf Amazon wurde und werden Yunmai K\u00f6rperfett-Waagen angeboten, wobei manches Modell inzwischen aber ausverkauft ist. Auf Ebay habe ich solche Waagen zu Preisen zwischen 60 und 90 Euro gesehen – im Internet sind mir auch Hinweise<\/a> untergekommen, dass Exemplare der Waage gibt, die im China-Versand f\u00fcr 22 Euro angeboten wurden. Im Yunmai Store von Amazon ist ein Modell aktuell f\u00fcr 52 Euro im Angebot.<\/p>\n

\"Yunmai<\/p>\n

Die Yunmai Waagen besitzen eine Bluetooth-Schnittstelle und eine API, die von Smartphone aus Android und iOS angesprochen werden kann. Die mobile Anwendung erm\u00f6glicht es den Ger\u00e4tebesitzern ihr Gewicht, ein Diagramm mit dem zeitlichen Verlauf, zusammen mit 12 anderen Indizes wie BMI, K\u00f6rperfettanteil, viszerales Fett, etc. anzeigen zu lassen. Dar\u00fcber hinaus k\u00f6nnen Ger\u00e4tebesitzer Familienmitglieder zu ihrem Konto hinzuf\u00fcgen und l\u00f6schen. F\u00fcr jeden Benutzer lassen sich Informationen wie Geschlecht, Name, Alter, Gr\u00f6\u00dfe, Beziehung und Profilfoto hinzuf\u00fcgen. \u00dcber die Android- oder iOS-Apps k\u00f6nnen Profile f\u00fcr bis zu 16 Personen angelegt werden.<\/p>\n

Auf Testberichte ist im Dezember 2018 ein Bericht<\/a> \u00fcber eine solche Waage erschienen, der eine ausschlie\u00dfliche englische App und ungenaue Messwerte bekrittelt. Auch wurde bem\u00e4ngelt, dass die App zu viele pers\u00f6nliche Daten verlangt. Ich gehe davon aus, dass Waagen dieses Herstellers, der \u00fcbrigens eine Tochter des chinesischen Herstellers Huawei ist, auch in einigen deutschen Haushalten stehen.<\/p>\n

Yunmai-API erlaubt Konten\u00fcbernahme<\/h2>\n

Sicherheitsforscher haben sich die Yunmai-Apps f\u00fcr Android und iOS der Waagen mal genauer angesehen und im Rahmen eines internen IoT-Forschungsprojekts einen Pentest der Android- und iOS-Anwendung durchgef\u00fchrt. Dabei sind sie auf gravierende Schwachstellen in der API gesto\u00dfen, wie folgender Tweet<\/a> ausf\u00fchrt.<\/p>\n

<\/a><\/p>\n

Laut diesem Bericht<\/a> von FORTHBRIDGE wurde gleich f\u00fcnf Schwachstellen entdeckt und dann an den Hersteller gemeldet. Hier die Liste der Probleme:<\/p>\n

    \n
  1. Umgehung des Limits von 16 Familienmitgliedern pro Hauptkonto<\/li>\n
  2. UserID Aufz\u00e4hlung<\/li>\n
  3. Unwirksame Berechtigungspr\u00fcfungen<\/li>\n
  4. Informationsleck<\/li>\n
  5. \u00dcbernahme des Kontos durch die \"Passwort-Reset\"-Funktion<\/li>\n<\/ol>\n

    Werden die unter 2, 3 und 4 genannten Schwachstellen kombiniert, l\u00e4sst sich eine massenhafte Konten\u00fcbernahme erreichen. Im Bericht ist ausgef\u00fchrt, dass \u00fcber ein abgefragtes \"accessToken\" und \"refreshToken\" die M\u00f6glichkeit bietet, zwischen den Konten der Familienmitglieder zu wechseln und alle deren Daten abzufragen. Details zu den Schwachstellen lassen sich dem Bericht entnehmen.<\/p>\n

    Zwischen September und Oktober 2021 haben die Sicherheitsforscher die gefundenen Schwachstellen an das Support-Team des Herstellers gemeldet. weitergegeben. Bez\u00fcglich der Schwachstelle Nummer 5 wurde vom Hersteller stillschweigend eines Korrektur vorgenommen. Die Sicherheitsforscher gehen aber davon aus, dass die ben\u00f6tigten Codes f\u00fcr die Tokens, die im Bereich von 165.000 und 175.000 liegen, per Brut-Force geknackt und und dann zum Zur\u00fccksetzen des Passworts eines Konto \u00fcber die Funktion \"Passwort vergessen\" zu verwenden. Damit w\u00e4re die Konten\u00fcbernahme weiterhin m\u00f6glich. Die Schwachstellen und 2 und 3 sind immer noch offen. Nachdem eine E-Mail vom 5. Mai 2022 ohne Antwort blieb, wurden die Erkenntnisse sieben Monate nach der Erstmitteilung an den Hersteller im Blog-Beitrag<\/a> mit allen Details ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Vom chinesischen Hersteller Yunmai wurden auch in Deutschland smarte K\u00f6rperfettwaagen angeboten. Diese lassen sich per Bluetooth mit einer App auf dem Smartphone koppeln, so dass die pers\u00f6nlichen Daten mehrerer Personen in pers\u00f6nlichen Profilen gespeichert werden k\u00f6nnen. Leider hapert es mit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,4328],"class_list":["post-267041","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/267041","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=267041"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/267041\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=267041"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=267041"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=267041"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}