Fitbit 间谍软件:通过表盘窃取个人数据

Andrew 2020-10-10
专栏 - 事件 发布于 2020-10-10 15:03:50 阅读 49 评论 0

Fitbit间谍软件通过表盘窃取个人数据

Immersive Labs Researcher利用松散的Fitbit隐私控制功能来建立了一个恶意间谍软件表盘。

广泛开放的应用程序构建API将允许攻击者构建可访问Fitbit用户数据的恶意应用程序,并将其发送到任何服务器。

Immersive Labs的网络威胁研究总监Kev Breen在意识到Fitbit设备已加载敏感的个人数据后,为该场景创建了概念验证。

“从本质上讲,[开发人员API]可以发送设备类型,位置和用户信息,包括性别,年龄,身高,心率和体重,”Breen解释说。“它还可以访问日历信息。尽管其中不包括PII个人资料数据,但日历邀请可能会暴露其他信息,例如名称和位置。”

由于所有这些信息都可以通过Fitbit应用程序开发人员API获得,因此创建应用程序进行攻击是一个简单的过程。Breen的努力导致了恶意的表盘,随后他可以通过Fitbit Gallery(Fitbit展示了各种第三方和内部应用程序)将其提供。因此,间谍软件看起来合法,并增加了将其下载的可能性。

他解释说:“使用开发团队用来预览应用程序的仪表板,我提交了间谍软件,并很快在gallery.fitbit.com/details/ < redacted > 中有了自己的URL,” “我们的间谍软件现已在fitbit.com上发布。重要的是要注意,尽管Fitbit并未将其视为“可用于公共下载”,但该链接仍可在公共领域访问,而我们的“恶意软件”仍可下载。”

Breen说,当人们在任何移动设备上单击该链接时,它的合法性就越来越高,它在Fitbit应用程序内打开,并且“所有缩略图都像是合法应用程序一样完美呈现。” “从那里,只需单击一下即可下载和安装,这是我在Android和iPhone上都做到的。”

Breen还发现,Fitbit的获取API允许对内部IP范围使用HTTP,他滥用这一点将恶意表盘变成原始的网络扫描仪。

他说:“有了这项功能,我们的表盘可能会成为对企业的威胁。” “它可以用来做所有事情,从识别和访问路由器,防火墙和其他设备到暴力破解密码以及从公司的内部应用程序读取公司的Intranet。”

Fitbit修复

在与Fitbit联系后,Breen表示公司已作出回应,并誓言要进行必要的更改以减轻将来的违规行为。

Fitbit在一份声明中对Threatpost表示:“客户的信任至高无上,我们致力于保护消费者的隐私并确保数据安全。” “与该研究人员联系后,我们立即做出了回应,并迅速开展了合作以解决他们提出的问题。我们不了解用户数据的任何实际损害。”

当通过专用链接安装应用程序时,Fitbit在用户界面中为用户添加了一条警告消息,它使消费者更容易识别未公开列出移动设备上已安装的应用apps/clocks。

Breen说,Fitbit还致力于在授权流程中调整默认权限设置,以使其默认为退出。

至于将恶意应用程序上传到图库的难易程度,“我们被告知提交给Fitbit Gallery进行公共下载的应用程序需要进行人工审核,并且明显的间谍软件或应用程序可能会被伪装成其他东西,并被阻止已发布。”

然而,截至周五初,Breen的恶意表盘仍可公开获得。

Fitbit总结道:“我们鼓励消费者仅从他们了解和信任的来源安装应用程序,并注意与第三方共享的数据。” “我们让用户可以控制他们共享哪些数据以及与谁共享。”

Fitbit并不是唯一代表物联网威胁表面的人。每天上网的IoT设备数量激增,这使得安全社区很难领先于恶意行为者。

上个月,研究人员意识到Mozi僵尸网络对等恶意软件占了IoT设备上全部流量的90%。而蓝牙欺骗漏洞最近发现留下数十亿易受攻击的设备的。最近甚至发现连接的男性贞操设备也很容易被黑客入侵,毫无戒心的用户陷入困境,需要救援。

随着其他行业的发展,最终用户需要被授权采取预防措施来保护其数据。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!