Сотрудница ИБ-компании Fortinet утверждает, что взломать популярный фитнес-трекер Fitbit можно всего за 10 секунд, превратив браслет в разносчика малвари, который заразит другие устройства, к которым подключается.
При этом злоумышленнику даже не понадобится физический доступ к устройству, так как взлом осуществляется «по воздуху», через Bluetooth.
Представители компании Fitbit всё отрицают. Еще в марте 2015 года ведущая исследовательница компании Fortinet Аксель Апврилль (Axelle Apvrille) обнаружила уязвимость в популярных фитнес-браслетах. Посредством Bluetooth атакующий может за считанные секунды передать браслету вредоносный код, от которого потом невозможно избавиться, даже перезагрузив устройство (пара байт от этого потеряется, но и только).
«Атакующий посылает зараженные пакеты фитнес-трекеру, находящемуся неподалеку, а основная часть атаки происходит уже самостоятельно, атакующему нет нужды все это время находиться рядом, — пояснила Апврилль. — Когда жертва решит синхронизировать трекер с серверами Fitbit и обновить свой профиль, браслет выполнит эту команду, но, в дополнение к стандартному сообщению, отошлет вредоносный код. После этого вредоносный пейлоуд может быть доставлен на ПК или ноутбук, и дело сделано. Это может быть бекдор, или можно вызвать падение системы, или распространить инфекцию на другие трекеры Fitbits». Исследовательница также продемонстрировала proof-of-concept своей атаки. Видеоролик был записан для конференции Hack.Lu, где 21 октября Апврилль выступала с докладом.
Апврилль сообщает, что ей удалось осуществить и другие хаки: изменить число пройденных шагов и разблокировать бейджи достижений, которые можно использовать для получения скидок и призов у сторонних компаний, сотрудничающих с Fitbit.
Представители Fitbit, тем временем, всё отрицают и заявляют, что их продукты устойчивы ко взлому:
«Fitbit заботится о сохранности личных данных пользователей и безопасности. Мы полагаем, что уязвимость, о которой сообщалось сегодня, — фальшивка, а устройства Fitbit нельзя использовать для заражения пользователей вредоносным ПО. Мы продолжим следить за ситуацией.
В марте компания Fortinet сообщала нам о проблеме низкого уровня серьезности, никак не связанной с вредоносным ПО. Все это время мы поддерживаем канал связи с Fortinet открытым, но не получали никаких данных, указывающих на то, что трекеры возможно использовать для распространения малвари». Не совсем понятно, что тогда, по мнению представителей компании, демонстрирует приведенное выше видео.
В ответ на данное заявление Апврилль опубликовала в твиттере серию сообщений, пояснив, что продемонстрированная атака, это proof-of-concept, лишь теория, в которой никакой реальный вредоносный код действительно не использовался, и никто (пока) не применяет данный метод на самом деле. К тому же, в распоряжении хакеров есть всего 17 байт, впрочем, по словам исследовательницы, возможно, это как раз не проблема.
