Hacker können drahtlos Malware auf ein Fitbit in 10 Sekunden hochladen


Wearables sind wie ein Hacker Bonbon. Sie repräsentieren eine neue Kategorie von Technologie, die zur Speicherung von Daten fähig ist – einschließlich Malware –, dass Menschen nicht erwarten, dass Pwned bekommen. Aber das ist genau das, was gerade passiert ist: Hacker herausgefunden, wie man aus der Ferne Malware auf ein Fitbit hochladen. Es dauert nur 10 Sekunden.

Hack.Lu Konferenz in Luxemburg morgen, sagte Hacker eine Methode für das drahtlos laden Malware auf ein Fitbit Flex Fitness-Tracker unter Beweis stellen werden. Das Register berichtet, dass dies "zum ersten Mal wurde Malware jugendpolitisches Fitness Tracker geliefert wird." Fortinet Forscher Axelle Apvrille geholfen, den Exploit einfallen lassen und erklärt es schreckliche Bedingungen:

Ein Angreifer sendet eine infizierte Paket an ein Fitness-Tracker in der Nähe in Bluetooth-Abstand, dann der Rest des Angriffs von selbst, ohne die besondere Notwendigkeit der Angreifer in der Nähe findet.

Wenn das Opfer seine Fitnessdaten synchronisieren möchte mit FitBit-Servern aktualisieren Sie ihr Profil... der Fitness Tracker reagiert auf die Abfrage, aber neben der Standardnachricht, die Antwort ist mit dem infizierten Code behaftet.

Es klingt nicht wie eine große Sache für ein Fitness-Tracker mit Code befleckt werden. Das heißt, bis Sie sich daran erinnern, dass die Menschen diese Dinge an ihren Computer anschließen. Apvrille fährt fort:

Von dort kann es eine bestimmte bösartige Nutzlast auf dem Laptop, liefern das ist, eine Hintertür zu starten oder den Absturz der Maschine [und] kann die Infektion zu anderen Trackern [Fitbits] ausbreiten.

Wenn man darüber nachdenkt, sind die kleinen Accessoires die perfekte Liefersystem für Malware. Im Gegensatz zu einem USB-Stick erwarten nicht Menschen wahrscheinlich ihre Fitness-Tracker, ein Ziel für Hacker sein.

Das wirklich frustrierend an dieser Exploit ist die Tatsache, dass Fitbit bekannt über die Verwundbarkeit seit März wenn die Fortinet-Forscher kontaktiert, aber das Unternehmen immer noch noch nicht behoben. Nun, da Details im Freien unterwegs sind, hoffen wir, dass Fitbit ups seine Security-Spiel. In der Zwischenzeit vielleicht nur dieses Gadget zu Hause lassen.

(10.22.2015) Update: FitBit schickte uns die folgende Aussage betreffend den Hack:

Als Marktführer im angeschlossenen Gesundheit und Fitness Fitbit konzentriert sich auf Schutz der Privatsphäre und Daten sicher zu halten. Wir glauben, dass Sicherheitsprobleme berichtete heute falsch sind, und dass Fitbit-Geräten verwendet werden können, um Benutzer mit Malware zu infizieren. Wir werden weiterhin diese Angelegenheit verfolgen.

Fortinet zuerst kontaktiert uns im März, eine Low-schwere Problem in keinem Zusammenhang mit bösartiger Software melden. Seit dieser Zeit haben wir einen offenen Kanal für die Kommunikation mit Fortinet gepflegt. Wir haben nicht gesehen, keine Daten zu zeigen, dass es derzeit möglich, einen Tracker zu verwenden, um Malware zu verbreiten.

Wir haben eine Geschichte der engen Zusammenarbeit mit der Sicherheits-Forschung-Community und immer herzlich willkommen, ihre Gedanken und Euer Feedback. Das Vertrauen unserer Kunden ist von größter Bedeutung. Wir entwerfen sorgfältig Sicherheitsmaßnahmen für neue Produkte, Monitor für neue Bedrohungen und schnell auf Probleme reagieren. Wir fördern Personen, etwaige Sicherheitsbedenken mit Fitbit Produkten oder Online-Diensten zu berichten [email protected]. Weitere Informationen über Berichterstattung Sicherheitsproblemen finden Sie online unter https://www.fitbit.com/security/.

[Registrieren]

Kontaktieren Sie den Autor unter [email protected]
Öffentlichen PGP-Schlüssel
PGP-Fingerprint: 91CF B387 7B38 148C DDD6 38 2 6CBC 1E46 1DBF 22A8

Verwandte Artikel

8 Tipps zu folgen, dass können Ihre Chancen auf eine erfolgreiche VBAC besser.

Ich war immer müde, nach einem Kaiserschnitt. Die Idee, die ein Baby für 9 Monate zu tragen, dann einer großen Operation folgte sofort durch die Pflege eines Neugeborenen nur so anstrengend und schmerzhaft für mich scheint. Ich bin dankbar, dass ich...

Hacker können Geldautomaten Geld mit einer Textnachricht ausspucken erzwingen.

Es ist bemerkenswert einfach zu Hack Geldautomaten immer in diesen Tagen, und Sicherheits-Forscher sagen, dass Microsoft Windows XP Altern ist das Problem verschlimmert. In dieser Woche, Sicherheitsexperten bei Symantec gebloggt: eine neue Technik Aufspri...

Hacker können die Etiketten auf Ihre Post nutzen, um Sie Mess Up Online-

Glaube beginnt und endet online hacken? Denken Sie noch einmal. Forbes warf einen Blick auf den Schaden, den ein Identitätsdieb mit nur dem Adressetikett auf die von denen Ihnen abonnierten Zeitschriften tun kann, und die Antwort ist nicht hübsch. Forbes&...

Ja, Sie können tatsächlich auf eine Smartwatch eingeben

Aber kein. Sie müssten den iType Smartwatch, eine Crowdfunding Android tragbar Juli dieses Jahres für $235 kommen. Ich bin immer skeptisch gegenüber der Kickstarter Projekte und Smartwatches, und ehrlich gesagt bin ich nur eine Art von einem skeptischen M...

Diese Website können Sie sich in eine GIF-Datei in Sekunden verwandeln

Wir wissen, was du denkst. Wenn es alles, was das Internet leidet (Narzissmus, Unsicherheit, Obszönität, eine unangenehme Affinität für Katzen), ist es sicherlich kein Mangel an Websites GIFs gewidmet. Aber überraschend, von allen Websites da draußen für...

Hacker können "andere Filmstudios nach Leck von Sony Pictures Daten angreifen"

Cyber-Experten warnen, dass Angriffe, die gelähmt EDV-Systeme und Dateien zugespielt, Erpressung gewesen sein könnte Sicherheitsexperten haben davor gewarnt, dass Hacker Angriffe auf anderen großen Filmstudios im Anschluss an die Sony Pictures Cyber-...

Wenn Sie irgendwelche dieser Spielzeuge besitzen, können Sie auf einer Goldmine sitzen

Wenn Sie jemals Sammelkarten oder Spielzeug gesammelt, Sie daran erinnern, was ihr gerne besondere Sorgfalt von ihnen nehmen. Schließlich sagte Sie Mama, dass sie eines Tages etwas Wert wäre. Sie verstehen nicht ganz, dass wenn Sie ein Kind waren, aber es...

Betrüger brauchen keinen ausgefallenen Skimmer: sie können tippen Sie einfach auf eine ATM-Netzwerk-Kabel

Nicht alle ATM Angriffe benötigen eine aufwändige Skimmer. Es gibt eine neue Art von Verbrechen macht die Runde, was einschließt, Entführung das Ethernet-Kabel eines Geldautomaten um Ihre Kreditkarteninformationen zu sammeln. Krebs auf Security berichtet,...

Sie können aus irgendeinem Grund PlayStation-Spiele auf eine Smartwatch ausführen.

[youtube]bd-qAxiYb7s[/youtube] Geräte haben in der Vergangenheit so lächerlich lang kommen 15 oder so Jahren. Brauchen Sie Beweise? Es ist durchaus möglich, die Flaggschiff-Konsole Spiele von einst zu spielen auf ein jetzt ansehen . Sie wissen, wie der Ke...

Ches Sohn auf Obama in Kuba: "Vielleicht können wir uns in einer positiven Weise beeinflussen"

Camilo Guevara Ansichten des Präsidenten Reise so viel Bedrohung als Chance, revolutionäre das Vermächtnis seines Vaters Vorsichtig optimistisch kommt der Sohn von Ernesto "Che" Guevara in den Griff bekommen mit dem Besuch in Havanna an diesem S...

Sie können $9.300 fügen Sie eine Apple Watch auf eine noch schicker Uhr bezahlen.

Hier ist eine Innovation also unpraktisch, unbequem und teuer, dass ich kann nicht aufhören, ihn anzuschauen. Natürlich hat die Welt eine Schweizer Luxus-Zeitmesser produziert, die Platz auf seiner Band für eine Apple Watch hat. Es ist ein goofy doppelzün...

Diese 26 überleben Hacks könnte Ihr Leben retten eines Tages... Ernst!

Var Googletag = Googletag || {}; googletag.cmd = googletag.cmd || []; googletag.cmd.Push(function() {googletag.defineSlot ("/ 37886402/VN_PG_DCBM_BTF", [1, 1], 'VN_PG_DCBM_BTF').addService(googletag.pubads()) .setTargeting ("NOVA_TS",...

Bowers & Wilkins erste kabellose Kopfhörer sind brillant – bis auf eine Sache

Normalerweise mag ich nicht in-Ear-Kopfhörer. Es ist meist eine Komfort-Sache -, und der Einzelgänger Wunsch, mich von der Außenwelt abschotten. Aber als ich hörte, dass WLAN-geliebten Bowers & Wilkins P5 in-Ear-Kopfhörer im Begriff waren, ich hatte u...

Chrysler erinnert sich 1,4 Millionen Autos, denn Hacker können sie entführen

Wenn Sie eine neuere Jeep Grand Cherokee oder Dodge Durango besitzen, Sie wollen check this out: Fiat Chrysler Automobile ist unter Hinweis auf 1,4 Millionen Autos wegen einer Sicherheitslücke, die die Fahrzeuge anfällig für Komplettübernahmen von Hackern...