Сотрудница ИБ-компании Fortinet утверждает, что взломать популярный фитнес-трекер Fitbit можно всего за 10 секунд, превратив браслет в разносчика малвари, который заразит другие устройства, к которым подключается. При этом злоумышленнику даже не понадобится физический доступ к устройству, так как взлом осуществляется «по воздуху», через Bluetooth. Представители компании Fitbit всё отрицают.
Еще в марте 2015 года ведущая исследовательница компании Fortinet Аксель Апврилль (Axelle Apvrille) обнаружила уязвимость в популярных фитнес-браслетах. Посредством Bluetooth атакующий может за считанные секунды передать браслету вредоносный код, от которого потом невозможно избавиться, даже перезагрузив устройство (пара байт от этого потеряется, но и только).
«Атакующий посылает зараженные пакеты фитнес-трекеру, находящемуся неподалеку, а основная часть атаки происходит уже самостоятельно, атакующему нет нужды все это время находиться рядом, — пояснила Апврилль The Register. — Когда жертва решит синхронизировать трекер с серверами Fitbit и обновить свой профиль, браслет выполнит эту команду, но, в дополнение к стандартному сообщению, отошлет вредоносный код. После этого вредоносный пейлоуд может быть доставлен на ПК или ноутбук, и дело сделано. Это может быть бекдор, или можно вызвать падение системы, или распространить инфекцию на другие трекеры Fitbits».
@AaronIsSocial you don't need physical access, but you need to be close (bluetooth range). It does not matter if it is paired or not.
— Axelle Ap. (@cryptax) October 21, 2015
Исследовательница также продемонстрировала proof-of-concept своей атаки. Видеоролик был записан для конференции Hack.Lu, где 21 октября Апврилль выступала с докладом.
Апврилль сообщает, что ей удалось осуществить и другие хаки: изменить число пройденных шагов и разблокировать бейджи достижений, которые можно использовать для получения скидок и призов у сторонних компаний, сотрудничающих с Fitbit.
Представители Fitbit, тем временем, всё отрицают и заявляют, что их продукты устойчивы ко взлому:
«Fitbit заботится о сохранности личных данных пользователей и безопасности. Мы полагаем, что уязвимость, о которой сообщалось сегодня, — фальшивка, а устройства Fitbit нельзя использовать для заражения пользователей вредоносным ПО. Мы продолжим следить за ситуацией.
В марте компания Fortinet сообщала нам о проблеме низкого уровня серьезности, никак не связанной с вредоносным ПО. Все это время мы поддерживаем канал связи с Fortinet открытым, но не получали никаких данных, указывающих на то, что трекеры возможно использовать для распространения малвари».
Не совсем понятно, что тогда, по мнению представителей компании, демонстрирует приведенное выше видео.
В ответ на данное заявление Апврилль опубликовала в твиттере серию сообщений, пояснив, что продемонстрированная атака, это proof-of-concept, лишь теория, в которой никакой реальный вредоносный код действительно не использовался, и никто (пока) не применяет данный метод на самом деле. К тому же, в распоряжении хакеров есть всего 17 байт, впрочем, по словам исследовательницы, возможно, это как раз не проблема.
concerning that scenario of infecting a fitness tracker, it's important to read the slide on limitations 1/ it's a PoC, no malicious code
— Axelle Ap. (@cryptax) October 21, 2015
2/ to complete the scenario you'd need to execute the malicious code on the victim's host. This is yet to do (requires an exploit?)
— Axelle Ap. (@cryptax) October 21, 2015
3/ only 17 bytes available. Though I don't feel that's really an issue 4/ I lose a few bytes after reset (but I don't think that's a big pb)
— Axelle Ap. (@cryptax) October 21, 2015
Фото: Fitbit
