Sporteszközök kihasználása
A Checkpoint internetre kötött sporteszközöket vizsgált és több sérülékenységet is azonosított. Egy futópad operációs rendszer számos szabványos API-t tartalmaz, amelyek kihasználhatók Android-kód futtatására, lehetővé téve a támadók számára, hogy aljas műveleteket hajtsanak végre hálózati szempontból, és kihasználják az eszköz mindig bekapcsolt természetét. Ezenkívül a webkamera és a mikrofon megléte sebezhetővé teszi a futópadot a lehallgatási támadásokkal szemben, ha rosszindulatú program van telepítve. A Checkpoint sikeresen kompromittálta azt egy mobil távoli elérési eszköz (MRAT) betöltésével, és gyakorlatilag egy zombi IoT-eszközzé változtatta, amelyet egy C&C központ távolról vezérelhet. Az MRAT teljes hozzáférést biztosított a futópad funkcióihoz, lehetővé téve számunkra, hogy hangot rögzítsenek, képeket készítsenek, hozzáférjenek a földrajzi helyzetéhez. Kompromittált futópaddal, teljes hozzáférést tudtak szerezni a helyi hálózathoz, és számos aljas tevékenységet végezhettünk.
A tesztelt futópad Android operációs rendszeren működik, így lényegében Android készülék. Néhány hónappal ezelőtt az operációs rendszer verziója Android 9-ről Android 10-re frissült. A cikk írásakor a futópad jelenlegi verziója az Android 10-en alapul, QT.22082.A buildszámmal. Fontos megjegyezni, hogy a legújabb elérhető Android-verzió az Android 13, ami azt jelenti, hogy csak 2022-től kezdve potenciálisan 1100-nál is több sebezhetőség merülhet fel, amelyek elméletileg kihasználhatók a futópad ellen.