FitΤα Fitness Trackers που παράγονται από τη Fitbit μπορούν «θεωρητικά» να χρησιμοποιηθούν για τη διάδοση malware και μπορεί να μολυνθούν σε λιγότερο από 10 δευτερόλεπτα, ισχυρίζεται η Axelle Apvrille, μια ερευνητής ασφάλειας του Fortinet.
Σύμφωνα με τα ευρήματα της Axelle, η αναφερόμενη ευπάθεια είναι αρκετά εύκολο να την εκμεταλλευτεί κανείς και η μόνη προϋπόθεση είναι ο επιτιθέμενος να είναι αρκετά κοντά στο θύμα του, έτσι ώστε να μπορεί να επιτευχθεί μια σύνδεση Bluetooth μεταξύ του wearable και τον φορητό υπολογιστή του hacker.
Η μόλυνση συνήθως παίρνει μέχρι 10 δευτερόλεπτα, καθώς ένα μολυσμένο πακέτο δικτύου αποστέλλεται στη συσκευή Fitbit και μόλις αυτό επιτευχθεί, η μόλυνση είναι boot-persistent, πράγμα που σημαίνει ότι η επανεκκίνηση δεν καθαρίζει το Fitness Tracker , μια μέθοδο που λειτουργεί για δρομολογητές και άλλες IoT συσκευές.
Από αυτό το σημείο και μετά, το FitBit tracker δρα σαν παράγοντας διασποράς malware, μολύνοντας με malware οποιασδήποτε άλλη συσκευή με την οποία συνδέεται.
Όπως εξηγεί η ειδικός σε θέματα ασφάλειας, τόσο οι καθημερινοί υπολογιστές όσο και οι άλλοι FitBit trackers μπορεί να μολυνθούν ταυτόχρονα και ο επιτιθέμενος μπορεί να χρησιμοποιήσει το fitness tracker για να εξαπλώσει trojans, ransomware, adware, ή οτιδήποτε άλλο επιθυμεί.
Η Axelle ανακάλυψε τις ευπάθειες τον Μάρτιο και τις παρουσίασε στην Fitbit ως απόδειξη των λεγομένων της. Η fitness tracking εταιρεία προφανώς αποφάσισε να μην διορθώσει τα ζητήματα, λέγοντας στο The Register ότι ο λόγος ήταν ότι δεν χρησιμοποιήθηκαν σε επιθέσεις της πραγματικής ζωής και δεν δημιουργούν καμία απειλή στους χρήστες του.
Πριν από αυτό, η Fitbit ήταν στην επικαιρότητα για δύο άλλα περιστατικά ασφαλείας. Το 2013, οι hackers ήταν σε θέση να έχουν πρόσβαση στους λογαριασμούς των χρηστών της Fitbit εξαιτίας ενός αδύναμου συστήματος ελέγχου ταυτότητας, ενώ το 2011, δεδομένα χρηστών που αναφέρανε λεπτομερώς σεξουαλικές δραστηριότητες εκτέθηκαν online και ήταν προσβάσιμα μέσω των μηχανών αναζήτησης.
Η κυρία Apvrille παρουσίασε τα πορίσματά της χθες στο συνέδριο Hack.Lu στο Λουξεμβούργο. Μπορείτε να δείτε το σχετικό βίντεο παρακάτω:
