Нажмите CTRL-D чтобы добавить нас в закладки
Внимание! Вы находитесь в незащищенном режиме (HTTP). Для перехода в защищенный режим SSL, нажмите здесь
HackZone.RU - Взлом фитнес-трэкера по беспроводной сети за 10 секунд. Актуальные базы 2GIS в форматах CSV,Excel,SQL
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Взлом фитнес-трэкера по беспроводной сети за 10 секунд.

02.11.2015

Вам нужен FitBit Health Tracker во время пробежки или работы, или даже сна?

У нас для Вас плохие новости! FitBit может быть взломан, что может позволить хакерам заразить любой, подключенный к нему, компьютер.

Что еще удивило?

Взлом Fitbit не займет более 10 секунд.

Аксель Апрвилл (Axelle Aprville), исследователь компании по обеспечению безопасности Fortinet, на конференции Hack.Lu, прошедшей  в Люксембурге продемонстрировала, "Как взломать FitBit всего за 10 секунд".

Проверка проведенная Апрвилл доказала концепцию, что на самом деле не надо сосредотачиваться  на выполнении вредоносного содержимого, а проводить логическую атаку.

При помощи только одного Bluetooth Апрвилл смогла изменить данные количества шагов и расстояния. Тем не менее, она сказала, что возможно заразить устройство для попытки распространить вредоносное программное обеспечение в синхронизированные устройства.

Fitbit Health  трекер представляет собой гибкий браслет, который измеряет показания состояния здоровья, такие как артериальное давление и частоту сердечных сокращений. Flex -это продукт Fitbit, и его основные особенности следующие:
  • Он может разбудить вас бесшумным вибро-будильником.
  • Устройство изготовлено из водоотталкивающего материала. 
  • Сам датчик можно снять (и использовать его с другими браслетами Flex). 
  • Может синхронизироваться через USB и может быть использован через приложение Fitbit.
  • Поддерживает беспроводную синхронизацию через Bluetooth. 
  • Имеет OLED-дисплей.
Взлом, о котором сообщалось в Fitbit в марте, использует открытое соединение Bluetooth поддерживаемое Fitbit 

По мнению исследователя, злоумышленник может отправить вредоносное ПО на фитнес-трекеры, находясь на расстоянии доступном для Bluetooth-соединения, которое впоследствии будет передано на любой компьютер к которому будет подключен Fitbit. 

По словам Апрвилл после заражения, когда жертва желает синхронизировать свои фитнес-данные с Fitbit серверами, фитнес-трекер отвечает на запрос, "но в дополнение к стандартной ошибке, ответ будет содержать зараженный код". 

Апрвилл добавила, "С него [фитнес-трекер] может быть доставлено конкретное вредоносное содержимое [на компьютер], то есть запустить бэкдор, или устроить  крэш [системы] [и] может быть распространено заражение на другие трекеры".

Видео-демонстрация
Вы можете посмотреть видео-демонстрацию взлома Аксель Апрвилл Fitbit, на котором показана атака в работе.


Как работает этот Хак?

Вот как исследователь выполняет взлом "за 10 секунд":
  • Реверс-инжениринг протоколов FitBit и манипуляция количеством шагов и пройденного расстояния, отслеживаемых пользователем.
  • После этого отправка вредоносного кода (размер: 17 байт) с помощью Bluetooth беспроводного трекера.
  • И наконец, передача этой загрузки на компьютер.
Стоит отметить следующее:
  1. Вскрывая Fitbit Flex с его защитным USB-ключом, исследователь продемонстрировал, как хакеры могут эксплуатировать уязвимость, чтобы создать поддельные данные об упражнениях и добавить столько очков, сколько они бы хотели.
  2. Апрвилл смогла соединиться с беспроводной полосой и также заразить ее.
  3. Любой ноутбук или PC, который соединяется с зараженным устройством, может потенциально быть заражен трояном, бэкдором, или тем, чем пожелает злоумышленник.
  4. Устройство может работать как аппаратный генератор случайных чисел (RNG).
  5. Может шпионить за пользователями.
  6. Апрвилл также упоминает, что для коммуникаций с устройством используется XML и Bluetooth с низким энергопотреблением (Bluetooth Low Energy), в то время как шифрование и декодирование происходят на самом гаджете, а не на защитном ключе, т.е. выполняется "за пределами границ безопасности".
В компании FitBit заявили что указанные недостатки являются "Ложью"

Узнав об уязвимости в трекерах FitBit Flex - компания ответила, сказав: "Мы считаем, что вопросы безопасности,заявленные сегодня,  являются ложными, и устройства FitBit не могут быть использованы, чтобы заразить пользователей вредоносными программами."

Представитель компании FitBit сообщил Fortinet, что в Fitbit впервые в марте было сообщено о проблеме низкой важности, связанные с вредоносным программным обеспечением.

Представитель от FitBit сказал, что Fortinet связался с FitBit сначала в марте, чтобы сообщить, что проблема не серьезная и не связанна со злонамеренным программным обеспечением.

И...

"С этого времени мы поддерживали связь с Fortinet. Мы не видели данных, подтверждающих, что трекер возможно использовать для распространения вредоносного программное обеспечение".
По данным компании, Fitbit имеет историю тесного сотрудничества с научно-исследовательскими сообществами, и мысли и обратная связь от исследователей в вопросах безопасности всегда приветствуется.

Об авторе

Джейн Кхьяти (Khyati Jain) - исследователь и технический писатель на Hacker News. Консультант по информационной безопасности и системный аудитор, убежденный евангелист безопасности для всех форм Cyber-Security и Denotational Counter Hack Requirement в промышленности, научных кругах и обществе.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Безопасность
Опубликовал: DiMan
Просмотров: 1767
Проголосовало через SMS: 0
Ключевые слова: fitbit, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Самозащита от вируса Petya
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / Новичкам » Взлом Whatsapp.Viber.Instagram. facebook.Узнаем взломаем !!!
  • Разное / Продам, отдам » Re: Продаю Инсаид ВМ
  • Разное / Предложения работы » Нужен взлом Telegram
  • Взлом и безопасность / WEB сайтов » Где взять прокси или vpn которые меняют внешний ip?
  • Разное / Предложения работы » Работа для настоящего профи!
  • Разное / Предложения работы » Взлом программы.
  • Разное / Предложения работы » Нужно взломать собственный MySpace
  • Разное / Предложения работы » Нужно взломать андроид онлайн игру на некоторые параметры
  • Взлом и безопасность / Программы » Re: Помогите снять ограничение, программа MasterTool
  • Взлом и безопасность / Новичкам » Профессиональные услуги по взлому

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}