近日，Immersive Labs Researcher的安全研究人員利用松垮的Fitbit隱私控制功能開發(fā)了一個惡意間諜軟件表盤(概念驗證)。證明利用開放的開發(fā)者API，攻擊者可以開發(fā)出可訪問Fitbit用戶數據的惡意應用程序，并將其發(fā)送到任何服務器。

[[345881]]

Immersive Labs的網絡威脅研究總監(jiān)Kev Breen指出：

“從本質上講，(開發(fā)者API)可以發(fā)送設備類型、位置和用戶信息，包括性別、年齡、身高、心率和體重。”布雷恩解釋說。“它還可以訪問日歷信息。盡管其中不包括PII個人資料數據，但日歷邀請可能會暴露其他信息，例如姓名和位置。”

由于可以通過Fitbit開發(fā)API獲得所有這些信息，因此開發(fā)應用程序進行攻擊并不復雜。Breen很輕松就開發(fā)出了惡意表盤，隨后他可以通過Fitbit Gallery(Fitbit的應用商店)發(fā)布。因此，這個間諜軟件看起來合法，這大大提高了用戶下載的可能性。

Breen解釋說：“我們的間諜軟件現已在fitbit.com上發(fā)布。重要的是要注意，盡管Fitbit并未將其視為‘可用于公共下載’，但該鏈接仍可在公共領域訪問，而我們的‘惡意軟件’仍可下載。”

Breen說，越多用戶在任何移動設備上點擊該鏈接，惡意軟件的合法性就越來越高，它在Fitbit應用程序內打開，并且“所有縮略圖都像是合法應用程序一樣完美呈現，只需單擊一下即可下載和安裝，在Android和iPhone手機上都可以。”

Breen還發(fā)現，Fitbit的API允許對內部IP范圍使用HTTP，他濫用這一點將惡意表盤變成原始的網絡掃描儀。

他說：“有了這項功能，我們的表盤可能會威脅到企業(yè)。”“它可以用來做所有事情，從識別和訪問路由器、防火墻和其他設備到暴力破解密碼以及從公司的內部應用程序讀取公司的內部網。”

冰山一角

截至本文發(fā)稿，Fitbit已經對Breen的安全報告做出回應，表示已迅速部署緩解措施。

當從專用鏈接安裝應用程序時，Fitbit在用戶界面中為用戶添加了一條警告消息，它使消費者更容易識別即將安裝的是否是公開列出的正規(guī)程序。

Breen說，Fitbit還致力于在授權流程中調整默認權限設置，使其默認為不選擇。

然而，截至上周五，Breen的惡意表盤仍可在Fitbit應用商店中供大眾訪問。

Fitbit的安全漏洞只是近期一系列可穿戴物聯網安全威脅的冰山一角，上周，聯網成人用品(男性貞操環(huán))發(fā)現嚴重漏洞，被黑客攻擊鎖死后，需要借助角磨機才能從器官上取下。

上個月，Mozi僵尸網絡惡意軟件占了IoT設備上全部流量的90%。而藍牙欺騙漏洞讓數十億設備暴露在攻擊火力之下，這些都讓物聯網安全態(tài)勢進一步惡化。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文