Галерея Fitbit может использоваться для распространения вредоносного ПО

Галерея Fitbit может использоваться для распространения вредоносного ПО

Легитимный домен Fitbit может использоваться для атак на корпоративные сети.

image

Директор по исследованиям компании Immersive Labs Кевин Брин (Kevin Breen) обнаружил , что на легитимный домен Fitbit можно загружать вредоносные приложения для носимых устройств Fitbit, которые затем можно распространять через ссылки.

По словам Брина, с помощью техник социальной инженерии злоумышленники могут заставить жертву загрузить и установить вредоносное приложение, позволяющее похищать данные о ее здоровье, собранные датчиками устройств Fitbit и смартфонов. Исследователю удалось загрузить в Fitbit Gallery вредоносное приложение, специально созданное с целью проверить, сможет ли оно обойти механизмы защиты магазина приложений.

Стремясь узнать, можно ли использовать этот вектор для атак на корпоративные среды, Брин добавил в приложение код для похищения данных устройств и персональных данных о здоровье, а также для установки соединения с подключениями компании с целью дальнейших злонамеренных действий. Исследователь предположил, что, поскольку приложение доставляется с легитимного домена Fitbit, оно должно обойти механизмы защиты от несанкционированных или подозрительных установок, и оказался прав.

Вредоносное приложение может похищать такие данные, как тип и местоположение устройства, пол, возраст, рост, вес и пульс пользователя, а также календарь. Хотя персонально идентифицируемую информацию таким образом получить нельзя, приглашения календаря могут выдать дополнительные сведения о пользователе. По словам Брина, SDK Fitbit также раскрывает API.

«Поскольку полученный API-интерфейс позволяет использовать HTTP для внутренних диапазонов IP-адресов, мне также удалось превратить вредоносный циферблат в примитивный сетевой сканер, способный сканировать и получать доступ к внутренним сетевым объектам и службам», - сообщил Брин.

Для этого нужно было только настроить сервер для сканирования IP-адресов и иметь приложение, способное подключаться и выполнять код. Таким образом устройство Fitbit превращается в гаджет для создания схем топологии корпоративной сети и взаимодействия с доступными устройствами (маршрутизаторами, межсетевыми экранами).

Брин уведомил Fitbit о проблеме, и компания пообещала ее исправить. Как отметили в компании, в отличие от частных приложений в ее галерее, которые не были внесены официально, общедоступные приложения проверяются вручную, чтобы убедиться в отсутствии вредоносного поведения.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.