Fitbit是一款可以記錄你鍛煉和運(yùn)動(dòng)量的手環(huán)設(shè)備，很受人們歡迎。但新的研究表明，F(xiàn)itbit設(shè)備抵御不了一個(gè)簡(jiǎn)單的惡意攻擊。更重要的是，惡意程序可以在用戶不知情的情況下發(fā)送到Fitbit設(shè)備上同時(shí)惡意程序可以感染同步數(shù)據(jù)采集的計(jì)算機(jī)上。

短時(shí)間內(nèi)便可上傳惡意程序

Fortinet公司的研究人員Axelle Apvrille發(fā)現(xiàn)了這種攻擊行為，并寫了關(guān)于這方面的報(bào)告。

最初的攻擊行為發(fā)生在藍(lán)牙，完成時(shí)間只需要10秒。黑客只需要在接近目標(biāo)的發(fā)送惡意程序，然后等待目標(biāo)連接到他或她的Fitbit設(shè)備到計(jì)算機(jī)上。當(dāng)惡意程序上傳到Fitbit設(shè)備時(shí)候就會(huì)在重啟之后留存下來(lái)。

一旦完成，該攻擊的第二階段開始后，惡意程序可以感染計(jì)算機(jī)建立后門，上傳木馬病毒或者其它惡意程序。

Fortinet公司的研究人員Axelle Apvrille同時(shí)表示攻擊者可以在藍(lán)牙可接受范圍內(nèi)發(fā)送惡意程序包給受害者而其它過(guò)程都可以在惡意程序執(zhí)行過(guò)程中完成，對(duì)于攻擊者來(lái)說(shuō)其它攻擊在不在附近并不是很重要。

開放的不加密藍(lán)牙成安全隱患

當(dāng)受害者希望與服務(wù)器同步Fitbit設(shè)備的健身數(shù)據(jù)或更新他們的個(gè)人資料，健身跟蹤器響應(yīng)查詢，但除了標(biāo)準(zhǔn)的消息，其余執(zhí)行的都是惡意程序操作。

Apvrille接受采訪時(shí)說(shuō)，F(xiàn)ortinet雖然加密，但是很明顯藍(lán)牙是開放的。所以給攻擊者造就了機(jī)會(huì)。

Fitbit正式推出了三款可穿戴設(shè)備，分別是Fitbit Charge、Fitbit Charge HR和Fitbit Surge。主要可以記錄基本的健身數(shù)據(jù)，例如走過(guò)的步數(shù)、距離和臺(tái)階數(shù)量，睡覺時(shí)佩戴還會(huì)監(jiān)測(cè)睡眠習(xí)慣，同時(shí)也有來(lái)電提醒的功能，該手環(huán)一次充電能使用7天。

演示視頻