Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Взлом фитнес-трэкера по беспроводной сети за 10 секунд.
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Взлом фитнес-трэкера по беспроводной сети за 10 секунд.

02.11.2015

Вам нужен FitBit Health Tracker во время пробежки или работы, или даже сна?

У нас для Вас плохие новости! FitBit может быть взломан, что может позволить хакерам заразить любой, подключенный к нему, компьютер.

Что еще удивило?

Взлом Fitbit не займет более 10 секунд.

Аксель Апрвилл (Axelle Aprville), исследователь компании по обеспечению безопасности Fortinet, на конференции Hack.Lu, прошедшей  в Люксембурге продемонстрировала, "Как взломать FitBit всего за 10 секунд".

Проверка проведенная Апрвилл доказала концепцию, что на самом деле не надо сосредотачиваться  на выполнении вредоносного содержимого, а проводить логическую атаку.

При помощи только одного Bluetooth Апрвилл смогла изменить данные количества шагов и расстояния. Тем не менее, она сказала, что возможно заразить устройство для попытки распространить вредоносное программное обеспечение в синхронизированные устройства.

Fitbit Health  трекер представляет собой гибкий браслет, который измеряет показания состояния здоровья, такие как артериальное давление и частоту сердечных сокращений. Flex -это продукт Fitbit, и его основные особенности следующие:
  • Он может разбудить вас бесшумным вибро-будильником.
  • Устройство изготовлено из водоотталкивающего материала. 
  • Сам датчик можно снять (и использовать его с другими браслетами Flex). 
  • Может синхронизироваться через USB и может быть использован через приложение Fitbit.
  • Поддерживает беспроводную синхронизацию через Bluetooth. 
  • Имеет OLED-дисплей.
Взлом, о котором сообщалось в Fitbit в марте, использует открытое соединение Bluetooth поддерживаемое Fitbit 

По мнению исследователя, злоумышленник может отправить вредоносное ПО на фитнес-трекеры, находясь на расстоянии доступном для Bluetooth-соединения, которое впоследствии будет передано на любой компьютер к которому будет подключен Fitbit. 

По словам Апрвилл после заражения, когда жертва желает синхронизировать свои фитнес-данные с Fitbit серверами, фитнес-трекер отвечает на запрос, "но в дополнение к стандартной ошибке, ответ будет содержать зараженный код". 

Апрвилл добавила, "С него [фитнес-трекер] может быть доставлено конкретное вредоносное содержимое [на компьютер], то есть запустить бэкдор, или устроить  крэш [системы] [и] может быть распространено заражение на другие трекеры".

Видео-демонстрация
Вы можете посмотреть видео-демонстрацию взлома Аксель Апрвилл Fitbit, на котором показана атака в работе.


Как работает этот Хак?

Вот как исследователь выполняет взлом "за 10 секунд":
  • Реверс-инжениринг протоколов FitBit и манипуляция количеством шагов и пройденного расстояния, отслеживаемых пользователем.
  • После этого отправка вредоносного кода (размер: 17 байт) с помощью Bluetooth беспроводного трекера.
  • И наконец, передача этой загрузки на компьютер.
Стоит отметить следующее:
  1. Вскрывая Fitbit Flex с его защитным USB-ключом, исследователь продемонстрировал, как хакеры могут эксплуатировать уязвимость, чтобы создать поддельные данные об упражнениях и добавить столько очков, сколько они бы хотели.
  2. Апрвилл смогла соединиться с беспроводной полосой и также заразить ее.
  3. Любой ноутбук или PC, который соединяется с зараженным устройством, может потенциально быть заражен трояном, бэкдором, или тем, чем пожелает злоумышленник.
  4. Устройство может работать как аппаратный генератор случайных чисел (RNG).
  5. Может шпионить за пользователями.
  6. Апрвилл также упоминает, что для коммуникаций с устройством используется XML и Bluetooth с низким энергопотреблением (Bluetooth Low Energy), в то время как шифрование и декодирование происходят на самом гаджете, а не на защитном ключе, т.е. выполняется "за пределами границ безопасности".
В компании FitBit заявили что указанные недостатки являются "Ложью"

Узнав об уязвимости в трекерах FitBit Flex - компания ответила, сказав: "Мы считаем, что вопросы безопасности,заявленные сегодня,  являются ложными, и устройства FitBit не могут быть использованы, чтобы заразить пользователей вредоносными программами."

Представитель компании FitBit сообщил Fortinet, что в Fitbit впервые в марте было сообщено о проблеме низкой важности, связанные с вредоносным программным обеспечением.

Представитель от FitBit сказал, что Fortinet связался с FitBit сначала в марте, чтобы сообщить, что проблема не серьезная и не связанна со злонамеренным программным обеспечением.

И...

"С этого времени мы поддерживали связь с Fortinet. Мы не видели данных, подтверждающих, что трекер возможно использовать для распространения вредоносного программное обеспечение".
По данным компании, Fitbit имеет историю тесного сотрудничества с научно-исследовательскими сообществами, и мысли и обратная связь от исследователей в вопросах безопасности всегда приветствуется.

Об авторе

Джейн Кхьяти (Khyati Jain) - исследователь и технический писатель на Hacker News. Консультант по информационной безопасности и системный аудитор, убежденный евангелист безопасности для всех форм Cyber-Security и Denotational Counter Hack Requirement в промышленности, научных кругах и обществе.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Безопасность
Опубликовал: DiMan
Просмотров: 3209
Проголосовало через SMS: 0
Ключевые слова: fitbit, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Релиз ядра Linux 5.9
  • Российские хакеры вооружились уязвимостью Zerologon
  • Тысячи приватных звонков американских заключенных оказались в отк...
  • Шифровальщик атаковал немецкую компанию Software AG
  • Злоумышленники используют службу Windows Error Reporting для бесф...
  • Microsoft предупредила о вымогателях, которые выдают себя за МВД ...
  • Инфостилер Valak ворует информацию из почтовых систем Microsoft E...
  • GitLab обнаружил множество уязвимостей в исходном коде проектов с...
  • Хакеры используют службу WER в бесфайловых кибератаках
  • Ботнет HEH способен уничтожить все данные на IoT-девайсах

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Нужна помощь в скачивании файла
  • Разное / Предложения работы » требуется взлом почт на постоянной основе
  • Разное / Предложения работы » необходим взлом почты
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Анализ открытых баз данных ElasticSearch (легкий гайд)
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}