Fitbit是一款可以记录你锻炼和运动量的手环设备,很受人们欢迎。但新的研究表明,Fitbit设备抵御不了一个简单的恶意攻击。更重要的是,恶意程序可以在用户不知情的情况下发送到Fitbit设备上同时恶意程序可以感染同步数据采集的计算机上。
短时间内便可上传恶意程序
Fortinet公司的研究人员Axelle Apvrille发现了这种攻击行为,并写了关于这方面的报告。
最初的攻击行为发生在蓝牙,完成时间只需要10秒。黑客只需要在接近目标的发送恶意程序,然后等待目标连接到他或她的Fitbit设备到计算机上。当恶意程序上传到Fitbit设备时候就会在重启之后留存下来。
一旦完成,该攻击的第二阶段开始后,恶意程序可以感染计算机建立后门,上传木马病毒或者其它恶意程序。
Fortinet公司的研究人员Axelle Apvrille同时表示攻击者可以在蓝牙可接受范围内发送恶意程序包给受害者而其它过程都可以在恶意程序执行过程中完成,对于攻击者来说其它攻击在不在附近并不是很重要。
开放的不加密蓝牙成安全隐患
当受害者希望与服务器同步Fitbit设备的健身数据或更新他们的个人资料,健身跟踪器响应查询,但除了标准的消息,其余执行的都是恶意程序操作。
Apvrille接受采访时说,Fortinet虽然加密,但是很明显蓝牙是开放的。所以给攻击者造就了机会。
Fitbit正式推出了三款可穿戴设备,分别是Fitbit Charge、Fitbit Charge HR和Fitbit Surge。主要可以记录基本的健身数据,例如走过的步数、距离和台阶数量,睡觉时佩戴还会监测睡眠习惯,同时也有来电提醒的功能,该手环一次充电能使用7天。
演示视频
