Cerca nel blog

2015/10/23

Braccialetto Fitbit infettabile troppo facilmente? Fortinet dice di sì, Fitbit nega

Nuove frontiere dell’Internet delle Cose, o meglio, dell’Internet delle Cose Insicure: il braccialetto di fitness Fitbit Flex può veicolare infezioni informatiche ed è attaccabile a distanza in dieci secondi. Si tratta della prima dimostrazione pratica di un attacco informatico condotto sfruttando un dispositivo digitale di monitoraggio dell'attività fisica.

La ricercatrice Axelle Apvrille, della società di sicurezza Fortinet, descrive in dettaglio la tecnica che ha usato per questo virtuosismo informatico, che per ora è puramente dimostrativo (video) e non è in circolazione: un aggressore situato nelle immediate vicinanze della vittima manda al braccialetto, via Bluetooth, un apposito pacchetto di dati infetto, e poi si allontana. Il braccialetto accetta il pacchetto senza fare alcun controllo e la fase attiva dell’attacco è già conclusa.

Quando la vittima sincronizza il braccialetto con i server della Fitbit per aggiornare il proprio profilo, lo scambio di messaggi contiene i dati infetti. Dato che il braccialetto viene spesso collegato a un computer, il codice infetto può essere recapitato al computer per infettarlo, per esempio per aprire una backdoor, causare un crash oppure propagare l'infezione ad altri braccialetti.

L’attacco è particolarmente subdolo perché l’utente non si aspetta che un braccialetto di fitness possa essere un bersaglio e un veicolo d’infezione, e non è l'unico successo di Apvrille, che è riuscita ad alterare il numero di passi contati e la distanza percorsa per guadagnare punti che possono essere convertiti in sconti e premi.

Fitbit è stata avvisata della falla a marzo scorso da Fortinet, ma non l’ha ancora corretta. Ora che la falla è stata resa pubblica può darsi che cambi idea, ma l'azienda ha dichiarato senza mezzi termini che “le questioni di sicurezza segnalate sono false e i dispositivi Fitbit non possono essere usati per infettare gli utenti con del malware”.

Non è la prima volta che questo braccialetto di fitness viene colto in fallo: nel 2013 emerse che era possibile falsificare le informazioni di login per accedere a qualunque account Fitbit e vincere premi, mentre nel 2011 le attività amorose degli utenti furono rese pubbliche tramite ricerche via Web che permettevano di sapere chi si era dedicato a sforzi “energici” oppure “passivi e leggeri”.

6 commenti:

Guido Pisano ha detto...

il bluetooth e' disattivabile oppure e' sempre attivo? E soprattutto perche' un qualsiasi aggeggio dovrebbe accettare qualsiasi cosa senza alcun controllo?

Fx ha detto...

Che non possano essere usati per infettare gli utenti con del malware non ci piove.

Ciò non esclude che possano infettare i dispositivi degli utenti con del malware. :)

Mi ricorda una frase che girava nella firma di qualcuno ai tempi delle BBS, una ventina di anni fa: "Meglio il Tequila [un virus particolarmente noioso che girava in quel periodo] sul tuo computer che l'HIV su di te" :)

Il Lupo della Luna ha detto...

Beh, che non possano infettare i computer con del malware probabilmente è anche vero: non so come funzionino quei cosi ma dubito fortemente che permettano di trasferire dati (in termini di files) nel computer.

Guido Pisano ha detto...

@lupo
ora per quell'aggeggio non lo so - ma altri "cosi" permettono di trasferire la singola corsa ad un server in modo da avere una panoramica di come ti alleni quando e perche' (e darla anche a chi gestisce il servizio) - quindi puo' effettivamente trasferire files... Se invece di copiarli su un server te li copia in locale...

MR ha detto...

Fare sesso indossando il braccialetto fitness... :-D

Guido Pisano ha detto...

@MR
tu parli di un altro tipo di braccialetto (warning - link nsfw) che non si indossa esattamente al braccio... :P