Эксперты «Лаборатории Касперского» в ходе изучения способов взаимодействия фитнес-трекеров со смартфонами выяснили, что метод аутентификации подключаемого устройства, реализованный в нескольких популярных фитнес-браслетах, дает сторонним людям возможность незаметно подсоединиться к смартфону, выполнить ряд команд и даже извлечь хранимые в гаджете данные. Для эксперимента представитель «Лаборатории Касперского» создал приложение, которое автоматически искало Bluetooth LE устройства (наиболее распространенный способ соединения фитнес-трекеров со смартфонами), пыталось к ним подключиться и получить их список сервисов.
За два часа в московском метро удалось подключиться к 11 браслетам FitBit и 8 Jawbone, в фитнес-клубе (где сконцентрировано больше пользователей таких девайсов) в США за час было обнаружено 20 Fitbit и по одному – Nike, Jawbone, Microsoft, Polar, Quans, а на саммите по безопасности «Лаборатории» удалось таким образом за два часа установить соединение с 10 фитнес-трекерами: 3 Jawbone и 7 FitBit. Для выполнения соответствующих манипуляций необходим смартфон с Android 4.3 и выше и неавторизованное приложение для синхронизации с фитнес-трекером.
Статистика Kaspersky Security Network по установкам на мобильные устройства пользователей приложений под Android для работы с популярными фитнес-трекерами
Что еще более интересно, большое число подключений удалось совершить, несмотря на два заметных ограничения: реальное максимальное расстояние, возможное для подключений в большинстве случаев – не больше 6 метров, а также невозможность установить соединение с уже подключенным к смартфону пользователя устройством. Тем не менее, второй пункт в ходе эксперимента удалось обойти на браслете эксперта — ему удалось заблокировать коммуникацию между браслетом и официальным приложением, хотя они заранее были спарены.
В ходе эксперимента, была совершена расширенная проверка уязвимости на Jawbone. Как заверяет эксперт, процесс получения данных не вызывает серьезных трудностей: «После аутентификации на устройстве легко выполнять команды. Например, для того, чтобы поменять время, нужно отправить на устройство массив байт, начинающийся с f0020c, а затем дату в виде YYYY MM DD DW HH MM SS MSMSMSMS. В случае с другими фитнес-трекерами все еще проще: для FitBit часть данных доступна сразу после подключения, а код приложения для Nike даже не обфусцирован и читается очень легко».
Для установления соединения между фитнес-трекером и смартфоном пользователь должен подтвердить это действие, нажав соответствующую кнопку на браслете. А поскольку большинство этих гаджетов сегодня не имеет экранов, злоумышленники могут легко обходить это необходимое условие: когда фитнес-браслет вибрирует, запрашивая подтверждение соединения со смартфоном, пользователь не может знать, идет ли речь о его собственном телефоне или о каком-то другом. Необходимо только подгадать момент либо постоянно подавать запрос авторизации, пока пользователь не нажмет клавишу.
«Конечно, подобные риски не кажутся столь существенными в сравнении с угрозой утечки действительно критически важной информации, например, паролей или данных банковских карт. Однако проведенный нами эксперимент говорит о том, что популярные электронные устройства имеют незакрытые уязвимости, которыми могут воспользоваться злоумышленники... уже сегодня стоит озаботиться вопросами обеспечения их безопасности, в частности разработать защищенный способ синхронизации спортивных браслетов и смартфонов», – отмечает Роман Унучек, антивирусный эксперт «Лаборатории Касперского».
«Если взломан браслет с датчиком пульса, владелец магазина может следить за частотой пульса покупателя, пока тот смотрит на скидки в его магазине. Так же можно узнавать реакцию людей на рекламу. Более того, взломанный браслет с датчиком пульса можно использовать в качестве детектора лжи».
Спортивные браслеты в ходе данного эксперимента при синхронизации со смартфоном передавали лишь информацию о количестве шагов, сделанных пользователем, к тому же, ряд девайсов не хранит данные в своей памяти или смартфонах — официальное приложение регулярно переносит всю информацию с браслета в облако. Однако трекеры следующего поколения будут собирать гораздо больше данных о физическом состоянии человека, а значит риск утечки конфиденциальной информации может заметно увеличиться.