Hacker können drahtlos Malware auf ein Fitbit in 10 Sekunden hochladen

Wearables sind wie ein Hacker Bonbon. Sie repräsentieren eine neue Kategorie von Technologie, die zur Speicherung von Daten fähig ist – einschließlich Malware –, dass Menschen nicht erwarten, dass Pwned bekommen. Aber das ist genau das, was gerade passiert ist: Hacker herausgefunden, wie man aus der Ferne Malware auf ein Fitbit hochladen. Es dauert nur 10 Sekunden.

Hack.Lu Konferenz in Luxemburg morgen, sagte Hacker eine Methode für das drahtlos laden Malware auf ein Fitbit Flex Fitness-Tracker unter Beweis stellen werden. Das Register berichtet, dass dies "zum ersten Mal wurde Malware jugendpolitisches Fitness Tracker geliefert wird." Fortinet Forscher Axelle Apvrille geholfen, den Exploit einfallen lassen und erklärt es schreckliche Bedingungen:

Ein Angreifer sendet eine infizierte Paket an ein Fitness-Tracker in der Nähe in Bluetooth-Abstand, dann der Rest des Angriffs von selbst, ohne die besondere Notwendigkeit der Angreifer in der Nähe findet.

Wenn das Opfer seine Fitnessdaten synchronisieren möchte mit FitBit-Servern aktualisieren Sie ihr Profil... der Fitness Tracker reagiert auf die Abfrage, aber neben der Standardnachricht, die Antwort ist mit dem infizierten Code behaftet.

Es klingt nicht wie eine große Sache für ein Fitness-Tracker mit Code befleckt werden. Das heißt, bis Sie sich daran erinnern, dass die Menschen diese Dinge an ihren Computer anschließen. Apvrille fährt fort:

Von dort kann es eine bestimmte bösartige Nutzlast auf dem Laptop, liefern das ist, eine Hintertür zu starten oder den Absturz der Maschine [und] kann die Infektion zu anderen Trackern [Fitbits] ausbreiten.

Wenn man darüber nachdenkt, sind die kleinen Accessoires die perfekte Liefersystem für Malware. Im Gegensatz zu einem USB-Stick erwarten nicht Menschen wahrscheinlich ihre Fitness-Tracker, ein Ziel für Hacker sein.

Das wirklich frustrierend an dieser Exploit ist die Tatsache, dass Fitbit bekannt über die Verwundbarkeit seit März wenn die Fortinet-Forscher kontaktiert, aber das Unternehmen immer noch noch nicht behoben. Nun, da Details im Freien unterwegs sind, hoffen wir, dass Fitbit ups seine Security-Spiel. In der Zwischenzeit vielleicht nur dieses Gadget zu Hause lassen.

(10.22.2015) Update: FitBit schickte uns die folgende Aussage betreffend den Hack:

Als Marktführer im angeschlossenen Gesundheit und Fitness Fitbit konzentriert sich auf Schutz der Privatsphäre und Daten sicher zu halten. Wir glauben, dass Sicherheitsprobleme berichtete heute falsch sind, und dass Fitbit-Geräten verwendet werden können, um Benutzer mit Malware zu infizieren. Wir werden weiterhin diese Angelegenheit verfolgen.

Fortinet zuerst kontaktiert uns im März, eine Low-schwere Problem in keinem Zusammenhang mit bösartiger Software melden. Seit dieser Zeit haben wir einen offenen Kanal für die Kommunikation mit Fortinet gepflegt. Wir haben nicht gesehen, keine Daten zu zeigen, dass es derzeit möglich, einen Tracker zu verwenden, um Malware zu verbreiten.

Wir haben eine Geschichte der engen Zusammenarbeit mit der Sicherheits-Forschung-Community und immer herzlich willkommen, ihre Gedanken und Euer Feedback. Das Vertrauen unserer Kunden ist von größter Bedeutung. Wir entwerfen sorgfältig Sicherheitsmaßnahmen für neue Produkte, Monitor für neue Bedrohungen und schnell auf Probleme reagieren. Wir fördern Personen, etwaige Sicherheitsbedenken mit Fitbit Produkten oder Online-Diensten zu berichten [email protected]. Weitere Informationen über Berichterstattung Sicherheitsproblemen finden Sie online unter https://www.fitbit.com/security/.

[Registrieren]

Kontaktieren Sie den Autor unter [email protected].
Öffentlichen PGP-Schlüssel
PGP-Fingerprint: 91CF B387 7B38 148C DDD6 38 2 6CBC 1E46 1DBF 22A8