Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
26 марта 2015, Источник: Лаборатория Касперского

Фитнес-браслеты способны передавать ваши данные третьим лицам

Носимая электроника набирает все большую популярность, в том числе не только смарт-часы, но и фитнес-браслеты. Однако, как выяснилось, трекинг физической активности владельцев таких гаджетов может быть доступен не только непосредственно пользователю, но и сторонним лицам.

Эксперты «Лаборатории Касперского» в ходе изучения способов взаимодействия фитнес-трекеров со смартфонами выяснили, что метод аутентификации подключаемого устройства, реализованный в нескольких популярных фитнес-браслетах, дает сторонним людям возможность незаметно подсоединиться к смартфону, выполнить ряд команд и даже извлечь хранимые в гаджете данные. Для эксперимента представитель «Лаборатории Касперского» создал приложение, которое автоматически искало Bluetooth LE устройства (наиболее распространенный способ соединения фитнес-трекеров со смартфонами), пыталось к ним подключиться и получить их список сервисов. 

За два часа в московском метро удалось подключиться к 11 браслетам FitBit и 8 Jawbone, в фитнес-клубе (где сконцентрировано больше пользователей таких девайсов) в США за час было обнаружено 20 Fitbit и по одному – Nike, Jawbone, Microsoft, Polar, Quans, а на саммите по безопасности «Лаборатории» удалось таким образом за два часа установить соединение с 10 фитнес-трекерами: 3 Jawbone и 7 FitBit. Для выполнения соответствующих манипуляций необходим смартфон с Android 4.3 и выше и неавторизованное приложение для синхронизации с фитнес-трекером.

 

Статистика Kaspersky Security Network по установкам на мобильные устройства пользователей приложений под Android для работы с популярными фитнес-трекерами

Что еще более интересно, большое число подключений удалось совершить, несмотря на два заметных ограничения: реальное максимальное расстояние, возможное для подключений в большинстве случаев – не больше 6 метров, а также невозможность установить соединение с уже подключенным к смартфону пользователя устройством. Тем не менее, второй пункт в ходе эксперимента удалось обойти на браслете эксперта — ему удалось заблокировать коммуникацию между браслетом и официальным приложением, хотя они заранее были спарены.

В ходе эксперимента, была совершена расширенная проверка уязвимости на Jawbone. Как заверяет эксперт, процесс получения данных не вызывает серьезных трудностей: «После аутентификации на устройстве легко выполнять команды. Например, для того, чтобы поменять время, нужно отправить на устройство массив байт, начинающийся с f0020c, а затем дату в виде YYYY MM DD DW HH MM SS MSMSMSMSВ случае с другими фитнес-трекерами все еще проще: для FitBit часть данных доступна сразу после подключения, а код приложения для Nike даже не обфусцирован и читается очень легко».

Для установления соединения между фитнес-трекером и смартфоном пользователь должен подтвердить это действие, нажав соответствующую кнопку на браслете. А поскольку большинство этих гаджетов сегодня не имеет экранов, злоумышленники могут легко обходить это необходимое условие: когда фитнес-браслет вибрирует, запрашивая подтверждение соединения со смартфоном, пользователь не может знать, идет ли речь о его собственном телефоне или о каком-то другом. Необходимо только подгадать момент либо постоянно подавать запрос авторизации, пока пользователь не нажмет клавишу. 

«Конечно, подобные риски не кажутся столь существенными в сравнении с угрозой утечки действительно критически важной информации, например, паролей или данных банковских карт. Однако проведенный нами эксперимент говорит о том, что популярные электронные устройства имеют незакрытые уязвимости, которыми могут воспользоваться злоумышленникиуже сегодня стоит озаботиться вопросами обеспечения их безопасности, в частности разработать защищенный способ синхронизации спортивных браслетов и смартфонов», – отмечает Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

«Если взломан браслет с датчиком пульса, владелец магазина может следить за частотой пульса покупателя, пока тот смотрит на скидки в его магазине. Так же можно узнавать реакцию людей на рекламу. Более того, взломанный браслет с датчиком пульса можно использовать в качестве детектора лжи». 

Спортивные браслеты в ходе данного эксперимента при синхронизации со смартфоном передавали лишь информацию о количестве шагов, сделанных пользователем, к тому же, ряд девайсов не хранит данные в своей памяти или смартфонах — официальное приложение регулярно переносит всю информацию с браслета в облако. Однако трекеры следующего поколения будут собирать гораздо больше данных о физическом состоянии человека, а значит риск утечки конфиденциальной информации может заметно увеличиться.

Комментарии
106
Тимур Поляков
Вывод: Купите дешёвый телефон без доступа к интернету и храните там информацию.
СсылкаПожаловаться
Andy
вот дураки)) у нас на заводе и без браслета следят
СсылкаПожаловаться
Chillblood
В ответ на комментарий от Вячеслав Алексеев История переписки2
Вячеслав Алексеев
А какие брендовые вы имеете в виду? FitBit и Jawbone - самые распространенные браслеты на данный момет. Поэтому их и было найдено больше всего, и их интереснее хакнуть.
СсылкаПожаловаться
в смысле родные, Самсунг - для Самсунга, Сони для Сони и тд
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Apple iPhone 6S 32GB
от35 670руб.
Apple iPhone 7 32GB
от43 400руб.
Samsung Galaxy A5 (2016)
от17 100руб.
Apple iPhone SE 64GB
от28 490руб.
Xiaomi Redmi 3S Pro 32GB
от9 590руб.
Samsung Galaxy S7 Edge 32GB
от37 000руб.
Apple iPhone 7 128GB
от51 489руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Meizu M3 Note 16GB
от9 290руб.
Samsung Galaxy J2 Prime
от7 889руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru