用户投稿是的,这确实是近期的重大安全新闻之一。根据多家媒体(如 The Verge)在 2024 年 2 月底报道的消息,Fitbit 的某些旧款智能手表(主要是 2015 年至 2019 年间发布的型号,如 Charge HR, Charge 2, Charge 3, Fitbit Flex 2, Fitbit One 以及部分 Ionic 型号)存在严重的安全漏洞。
"主要漏洞细节如下:"
1. "利用蓝牙连接:" 攻击者可以在用户身边,利用蓝牙信号进行攻击。
2. "无需用户交互:" 最关键的是,攻击者不需要用户进行任何操作(如点击链接、扫描二维码等)即可利用该漏洞。
3. "潜伏和传播:" 攻击者可以将恶意软件(病毒)伪装成合法的固件更新推送给用户的手表。手表在连接到手机 App 时,可能会在用户不知情的情况下下载并安装这个恶意固件。
4. "远程控制:" 一旦恶意固件被安装,攻击者就可以远程访问手表,窃取存储在手表上的敏感信息,如个人健康数据、活动记录、密码(如果同步到手机或云端)、位置信息等,甚至可以控制手表的一些功能。
5. "攻击速度快:" 报道称,在理想条件下,整个攻击过程,从接近手表到成功植入恶意固件,可能只需要几
相关内容:
FitBit 运动追踪器在今年3月曝出的安全漏洞能够被黑客利用。根据Fortinet的研究报告,黑客可以通过蓝牙入侵FitBit,并可以侵入与FitBit连接的其他设备。不过,通过蓝牙的黑客攻击需要黑客身处在目标设备数米之内。在FitBit与设备连接后,病毒可以在10秒时间内被植入。
Fortinet研究员阿克艾尔·奥维尔(Axelle Apvrille)表示,这种感染具有持久性,即便是FitBit Flex重启也仍旧存在。任何与FitBit连接的设备可以以木马、软件后台或者其他黑客喜欢的方式遭受病毒感染。
“在蓝牙覆盖范围内,黑客可以向FitBit运动追器设备发送病毒感染包,然后剩余的‘攻击’则会自己会完成,不需要黑客的辅助。”奥维尔表示,"当用户想要将他们的运动数据与FitBit服务器同步时,运动追踪器会对用户的请求作出反应,但是除了标准的信息外,这种反应 也会遭受到受感染代码的入侵。”
奥维尔事实上在今年3月已经针对漏洞提醒了FitBit,并表示,这家公司已经考虑推出补丁来修复。
奥维尔是一名知名的病毒软件研究员,他将在明天一场名为Hack LU会议上提供概念验证视频。该视频将展示这种感染的持久性,即便是我们重新启动与追踪器的连接,但是大多数受感染的代码还是存在。这也就意味着,我们将“暴露”很大的空间来让很短的病毒软件代码传播。
除此之外,奥维尔已经发现了其他漏洞,比如黑客可以 操作用户行走步数的数量和行走的距离,并以此来赢得勋章奖励,因为这些勋章可以让用户兑换折扣和奖励。
这些勋章可以通过第三方公司(比如Higi)转化为折扣和礼品。Higi这家公司在今年4月推出了一个API,可以帮助公司接收来自可穿戴设备提供的员工健康数据。奥维尔已经颠倒了来自FitBit追踪器的24条信息和20条来自USB蓝牙信息。
通讯数据设置可以分为“大型转储”(其中包括了行走步数和用户活动信息)和“微型转储”(包括匹配,服务器回应和设备认证)。奥维尔表示,数据传输通过XML和蓝牙系统,而编码和解码则在可穿戴设备上完成,而非加密狗。
事实上,这并非首次曝光运动追踪器安全漏洞:2013年,研究人员就利用虚假登陆信息入侵FitBit账号,又由于宽松的身份验证检查,黑客很轻松地获得奖励。2013年,部分研究人员将FitBit与汽车轮胎捆绑,将汽车行驶到16公里时速来模拟用户走步,以此来骗取积分和奖励。
微信扫一扫打赏
支付宝扫一扫打赏
