Jim Blankendaal

**Nome do software vulnerável e versões afetadas** Versões do Lush 2 até 25/02/2020 Versões do Tk-star (versões afetadas não especificadas) Versões de produtos Epson (versões afetadas não especificadas) Versões do One2Track (versões afetadas não especificadas) Versões de impressoras Brother (versões afetadas não especificadas) Versões do Svakom Nan (versões afetadas não especificadas) Versões do Loven Nan (versões afetadas não especificadas) Versões do Loven (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de criptografia do tráfego Bluetooth, permitindo que um invasor se aproprie de uma conexão Bluetooth em andamento e obtenha controle total sobre o dispositivo. Essa vulnerabilidade afeta vários produtos e versões, colocando-os em risco de exploração. Recomenda-se aos usuários que atualizem para a versão mais recente para mitigar os riscos. A vulnerabilidade pode levar à execução remota de código. **Recomendações** Para as versões do Lush 2 até 25/02/2020, atualize para uma versão lançada após 25/02/2020 para mitigar o risco. Para o Tk-star nan, atualize para a versão mais recente para mitigar os riscos. Para produtos Epson, certifique-se de que seus sistemas estejam atualizados com o firmware mais recente para mitigar ameaças potenciais. Para o One2Track, atualize para a versão mais recente para mitigar os riscos. Para impressoras Brother, atualize para o firmware mais recente imediatamente para proteger seus dispositivos e desative serviços de rede desnecessários. Para o Svakom Nan, atualize para a versão mais recente para mitigar os riscos. Para o Loven nan, atualize para a versão mais recente e aplique todas as recomendações

**Nome do software vulnerável e versões afetadas** One2Track versão 2019-12-08 **Descrição** Foi identificada uma falha pela qual não é possível configurar um PIN em nenhum cartão SIM utilizado com o dispositivo. Se um PIN for configurado, o dispositivo exibe a mensagem “Remova o PIN e reinicie!” e fica inutilizável, facilitando que um invasor utilize o cartão SIM após roubar o dispositivo. **Recomendações** Para a versão 2019-12-08 do One2Track, considere remover o PIN do cartão SIM para permitir que o dispositivo funcione, como uma solução temporária até que uma solução mais permanente esteja disponível. No entanto, isso não resolve o problema subjacente e os usuários são instados a atualizar para a versão mais recente o mais rápido possível para garantir a segurança de seus dispositivos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Câmera de segurança Wi-Fi Sannce Smart HD (versões afetadas não especificadas) **Descrição** Foi detectada uma vulnerabilidade nos dispositivos da câmera de segurança Wi-Fi Sannce Smart HD, na qual uma interface TELNET está disponível por padrão, embora não seja anunciada nem utilizada funcionalmente. Existem duas contas de backdoor, `root` e `default`, nessa interface, com os mesmos nomes de usuário e senhas em todos os dispositivos. Os invasores podem usar essas contas de backdoor para obter acesso e executar código como `root` dentro do dispositivo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WiZ Colors A60 versão 1.14.0 **Descrição** Foi detectada uma falha pela qual as credenciais da API são registradas localmente, o que pode expor informações confidenciais. **Recomendações** Para o WiZ Colors A60 versão 1.14.0, considere restringir o acesso às credenciais de API registradas localmente até que uma correção esteja disponível. Como solução temporária, revise e armazene com segurança ou remova quaisquer credenciais de API registradas localmente para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WiZ Colors A60 versão 1.14.0 **Descrição** Foi detectada uma falha pela qual o dispositivo envia informações desnecessárias ao servidor controlador na nuvem, incluindo o endereço IP local e o SSID da rede Wi-Fi à qual está conectado. Embora essas informações sejam enviadas criptografadas, isso prejudica a privacidade do usuário final. O SSID enviado pode ser mapeado para localizações físicas usando recursos como o wigle.net. **Recomendações** Para o WiZ Colors A60 versão 1.14.0, considere restringir a capacidade do dispositivo de enviar essas informações desnecessárias ao servidor do controlador na nuvem como uma solução temporária até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WiZ Colors A60 versão 1.14.0 **Descrição** Foi detectada uma falha pela qual as credenciais de Wi-Fi são armazenadas em texto simples na memória flash. Isso representa um risco de divulgação de informações para dispositivos descartados ou revendidos. **Recomendações** Para o WiZ Colors A60 versão 1.14.0, considere atualizar para uma versão mais recente que armazene as credenciais de Wi-Fi de forma segura, a fim de mitigar o risco de divulgação de informações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** SeTracker2 para o relógio GPS TK-Star Q90 Junior, versão 3.1042.9.8656 **Descrição** Foi detectada uma falha no software, na qual ele possui permissões desnecessárias, tais como `READ EXTERNAL STORAGE`, `WRITE EXTERNAL STORAGE` e `READ CONTACTS`. **Recomendações** Para a versão 3.1042.9.8656, considere restringir o uso de permissões desnecessárias para minimizar riscos potenciais até que um patch ou atualização esteja disponível.