ЛК: фитнес-браслеты могут использоваться для хищения данных со смартфона

Специалистом "Лаборатории Касперского" была обнаружена  уязвимость  во многих фитнес-браслетах под управлением Android. Во время изучения процесса взаимодействия фитнес-трекеров со смартфоном эксперт Роман Унучек нашел брешь в защите набирающих популярность устройств.

Способ аутентификации браслетов позволяет злоумышленникам подключиться к устройству и получить персональные данные владельца. Сторонним лицам удастся эксплуатировать уязвимость в случае, если фитнес-трекер работает в паре со смартфоном на базе Android 4.3 или более поздней версии платформы. Злоумышленникам потребуется также установленное на смартфоне жертвы неавторизованное ПО, используемое для синхронизации с браслетом.

Большинство фитнес-трекеров запрашивают подтверждение пользователя для соединения со смартфоном, которое осуществляется нажатием определенной кнопки на браслете. Однако многие устройства этого типа сегодня не оснащены экранами, и пользователь не всегда может быть уверенным, что фитнес-трекер синхронизируется именно с его смартфоном.

Браслеты для занятий спортом, которые изучал специалист "Лаборатории Касперского", могут собирать информацию только о количестве сделанных шагов, но технический прогресс не стоит на месте. Фитнес-трекеры следующего поколения будут передавать на смартфон намного больше информации - соответственно возрастет и угроза хищения конфиденциальных данных.