‘Fitbit is binnen tien seconden te hacken’

Door: Raymon Mens - 5 reacties

De populaire fitnesstrackers van Fitbit zijn volgens een malware-onderzoeker in tien seconden te infecteren met malware. De aanval kan op afstand worden uitgevoerd en vereist geen koppeling via Bluetooth. De malware is daarna erg moeilijk te verwijderen.

Onderzoeker Axelle Apvrille van beveiligingsbedrijf Fortinet deed zijn bevindingen tijdens de hack.lu-conferentie uit de doeken. Volgens Apvrille is Fitbit al sinds maart op de hoogte, maar blijft een patch uit.

Bluetooth-poort open

Om een Fitbit te infecteren, is het sturen van een Bluetooth-signaal genoeg. De malware kan vervolgens gegevens uit de tracker stelen en zich verspreiden naar computers of telefoons waarmee de wearable is verbonden. Zo kunnen ook omringende Fitbits geïnfecteerd worden. De wearables gebruiken wel versleuteling van gegevens, maar blijkbaar staat de Bluetooth-zender van de apparaatjes open, waardoor de aanval mogelijk wordt.
fitbit-sleep

Data en geld

De onderzoeker toonde aan dat het mogelijk is om alle Fitbits te hacken, maar heeft zelf geen kwaadaardige code geschreven. Met toegang tot de wearable is het echter mogelijk om gezondheidsdata binnen te halen en de tracking te manipuleren. Dat laatste heeft ook financiële gevolgen, want Fitbit-gebruikers kunnen in de VS punten sparen voor korting bij winkelketens als Walgreens.

Fitbit zegt tegen Engadget geen indicatie te hebben dat de wearables worden misbruikt en ontkent dat de bevindingen van Apvrille een risico vormen.

We believe that security issues reported today are false, and that Fitbit devices can’t be used to infect users with malware. […] We have not seen any data to indicate that it is currently possible to use a tracker to distribute malware.

Reacties

5 reacties
  • Profielfoto
    Afroman

    10 minuten was het

  • Profielfoto
    Shmoo

    Ik dacht dat “tijd is geld” alleen geldt voor de echte professionals. Hackers zijn toch een soort outlaws net als Batman – die doen toch niet aan tijd de tijd belangrijk is voor dit bericht..
    Als tijd voor die gasten zo belangrijk was dan waren ze wel wat eerder uit huis gegaan.

  • Profielfoto
    App69

    het sturen van een Bluetooth-signaal genoeg.

    Dan moet de hacker toch dicht bij het apparaat zijn?

  • Profielfoto
    IsSidha

    Dichtbij is een relatief begrip

    Bluetooth range specificaties
    Class 1: range up to 100 meters (in most cases 20-30 meters)
    Class 2: range up to 30 meters (in most cases 5-10 meters)

    Je mag aannemen dat 5 meter dan voldoende zal zijn..
    Erg handig in de sportkantine..

  • Profielfoto
    App69

    Dichtbij is een relatief begrip.

    Ok.

    Je mag aannemen dat 5 meter dan voldoende zal zijn..

    Dat is toch op z’n minst in de buurt zijn.