Производители опровергают возможность распространения вредоносов через фитнес-трекеры FitBit

ИБ-эксперт из компании Fortinet Аксель Апврилль (Axelle Apvrille) заявила, что злоумышленники всего за пару секунд могут инфицировать систему фитнес-трекера FitBit Flex вредоносным ПО. Это позволяет распространить вредонос на любое устройство, к которому FitBit Flex в дальнейшем будет подключен. Эксперт проэксплуатировала уязвимость, обнаруженную в «умном» девайсе еще в марте текущего года и до сих пор не исправленную производителем. Проблема заключается в открытом Bluetooth-соединении.

Брешь позволяет злоумышленнику, который находится недалеко от фитнес-трекера, отправить устройству вредоносные пакеты всего за десять секунд. Для дальнейшей работы вредоносного ПО атакующему не требуется быть в непосредственной близости к носимому устройству.

«Когда жертва хочет синхронизировать данные фитнес-трекера с серверами FitBit для обновления профиля, носимое устройство отвечает на запрос, однако в дополнение к стандартному сообщению ответ уже будет содержать вредоносный код», - поясняет Апврилль корреспондентам издания The Register.

Экперт дополняет, что такое сообщение может доставляться с вредоносной полезной нагрузкой на компьютер, а также инфицировать другие фитнес-трекеры FitBit. Апврилль также обнаружила множественные способы манипуляции данными, получаемыми фитнес-трекером, например, имитировать движение, когда на самом деле этого не происходит.

Специалист, которая сообщила FitBit об обнаруженной уязвимости еще в марте, заявила, что пока нет никаких данных об эксплуатации этой бреши злоумышленниками. Компания Fortinet отказалась от публикации всех ключевых технологий, которые были использованы при создании фитнес-трекеров FitBit.

В свою очередь, представители компании FitBit заявили, что исследования Апврилль не соответствуют действительности. «Фитнес-трекеры FitBit не могут быть использованы для распространения вредоносного ПО. Апврилль действительно связалась с нами в марте и сообщила о несущественной уязвимости, не связанной с вредоносным программным обеспечением. С тех пор мы постоянно поддерживали связь с Fortinet, и не было никаких свидетельств того, что трекеры могут быть использованы для распространения вредоносов», - гласит заявление FitBit.

Апврилль уточнила, что не отправляла на FitBit-устройства вредоносную программу, а только произвольный код. «Для успешного осуществления атаки хакеру нужно выполнить код на хосте жертвы, а для этого надо иметь эксплоит для синхронизации с хостом. Однако не исключен сценарий распространения небольшого вируса», - рассказала эксперт.