Fitbit是一款可以記錄你鍛煉和運動量的手環(huán)設(shè)備，很受人們歡迎。但新的研究表明，F(xiàn)itbit設(shè)備抵御不了一個簡單的惡意攻擊。更重要的是，惡意程序可以在用戶不知情的情況下發(fā)送到Fitbit設(shè)備上同時惡意程序可以感染同步數(shù)據(jù)采集的計算機(jī)上。

短時間內(nèi)便可上傳惡意程序

Fortinet公司的研究人員Axelle Apvrille發(fā)現(xiàn)了這種攻擊行為，并寫了關(guān)于這方面的報告。

最初的攻擊行為發(fā)生在藍(lán)牙，完成時間只需要10秒。黑客只需要在接近目標(biāo)的發(fā)送惡意程序，然后等待目標(biāo)連接到他或她的Fitbit設(shè)備到計算機(jī)上。當(dāng)惡意程序上傳到Fitbit設(shè)備時候就會在重啟之后留存下來。

一旦完成，該攻擊的第二階段開始后，惡意程序可以感染計算機(jī)建立后門，上傳木馬病毒或者其它惡意程序。

Fortinet公司的研究人員Axelle Apvrille同時表示攻擊者可以在藍(lán)牙可接受范圍內(nèi)發(fā)送惡意程序包給受害者而其它過程都可以在惡意程序執(zhí)行過程中完成，對于攻擊者來說其它攻擊在不在附近并不是很重要。

開放的不加密藍(lán)牙成安全隱患

當(dāng)受害者希望與服務(wù)器同步Fitbit設(shè)備的健身數(shù)據(jù)或更新他們的個人資料，健身跟蹤器響應(yīng)查詢，但除了標(biāo)準(zhǔn)的消息，其余執(zhí)行的都是惡意程序操作。

Apvrille接受采訪時說，F(xiàn)ortinet雖然加密，但是很明顯藍(lán)牙是開放的。所以給攻擊者造就了機(jī)會。

Fitbit正式推出了三款可穿戴設(shè)備，分別是Fitbit Charge、Fitbit Charge HR和Fitbit Surge。主要可以記錄基本的健身數(shù)據(jù)，例如走過的步數(shù)、距離和臺階數(shù)量，睡覺時佩戴還會監(jiān)測睡眠習(xí)慣，同時也有來電提醒的功能，該手環(huán)一次充電能使用7天。

演示視頻