Fitbit spyware krade osobní údaje prostřednictvím ciferníku

fitbit security

Široce otevřené API pro vytváření aplikací by útočníkovi umožnilo vytvořit škodlivou aplikaci, která by mohla přistupovat k uživatelským datům Fitbit a odeslat je na libovolný server.

Kev Breen, ředitel výzkumu kybernetických hrozeb společnosti Immersive Labs, vytvořil koncept důkazu právě pro tento scénář poté, co si uvědomil, že zařízení Fitbit jsou nabitá citlivými osobními údaji.

“V zásadě by vývojářské API mohlo odesílat informace o typu zařízení, umístění a uživatelských informacích, včetně pohlaví, věku, výšky, srdeční frekvence a hmotnosti,” vysvětlil Breen. “Mohlo by také získat přístup k informacím z kalendáře. I když to nezahrnuje údaje PII profilu, pozvánky z kalendáře by mohly zveřejnit další informace, jako jsou jména a umístění. “

Vzhledem k tomu, že všechny tyto informace jsou k dispozici prostřednictvím rozhraní API pro vývoj aplikací Fitbit, byl to jednoduchý proces vytvořit aplikaci k provedení útoku. Breenovo úsilí vyústilo ve škodlivý ciferník, který poté mohl zpřístupnit prostřednictvím galerie Fitbit (kde Fitbit předvádí různé aplikace třetích stran a vlastní aplikace). Spyware se tedy jeví jako legitimní a zvyšuje pravděpodobnost jeho stažení.

„Pomocí řídicího panelu, který vývojové týmy používají k náhledu aplikací, jsem odeslal náš spyware a brzy jsem měl vlastní adresu URL na adrese https://gallery.fitbit.com/details/xyz,“ vysvětlil. “Náš spyware byl nyní aktivní na fitbit.com. Je důležité si uvědomit, že i když to Fitbit nepočítá jako „dostupné pro veřejné stahování“, odkaz byl stále přístupný na veřejné doméně a náš „malware“ byl stále ke stažení. “

Když se zvýšila legitimita, po kliknutí na odkaz na jakémkoli mobilním zařízení se otevřel uvnitř aplikace Fitbit se „všemi miniaturami dokonale vykreslenými, jako by to byla legitimní aplikace,“ řekl Breen. “Odtamtud to bylo jen rychlé kliknutí ke stažení a instalaci, které jsem udělal s Androidem i iPhone.”

Breen také zjistil, že rozhraní Fetch API společnosti Fitbit umožňuje použití protokolu HTTP na interní rozsahy IP adres, což zneužil k přeměně škodlivého ciferníku na primitivní síťový skener.

“Díky této funkci by se náš ciferník mohl stát hrozbou pro podnik,” řekl. “Lze jej použít k identifikaci a přístupu ke směrovačům, branám firewall a dalším zařízením, k hádání hesel a čtení firemního intranetu – to vše zevnitř aplikace v telefonu.”

Po kontaktování společnosti Fitbit ohledně těchto problémů Breen uvedl, že společnost reagovala a slíbila, že provede nezbytné změny.

Fitbit přidal varovnou zprávu pro uživatele v uživatelském rozhraní při instalaci aplikace ze soukromého odkazu a spotřebitelům usnadnil identifikaci, které nainstalované aplikace / hodiny na mobilním zařízení nejsou veřejně přístupné.

Breen uvedl, že společnost Fitbit se rovněž zavázala upravit výchozí nastavení oprávnění během procesu autorizace tak, aby byla ve výchozím nastavení odhlášena.

Pokud jde o snadné nahrání škodlivé aplikace do galerie, „bylo nám doporučeno, aby aplikace odeslané do galerie Fitbit pro veřejné stahování prošly manuální kontrolou a že je pravděpodobné, že bude zachycen a zablokován zjevný spyware nebo aplikace maskující se jako něco jiného. “

„Doporučujeme spotřebitelům, aby si instalovali aplikace pouze ze zdrojů, které znají a kterým důvěřují, a aby si uvědomili, jaké údaje sdílejí s třetími stranami,“ uzavřel Fitbit. “Dáváme našim uživatelům kontrolu nad tím, jaké údaje sdílejí a s kým.”

Zdroj: threatpost.com

Napsat komentář