十秒内黑掉Fitbit智能手环(附视频)

安全 终端安全
Fitbit是一款可以记录你锻炼和运动量的手环设备,很受人们欢迎。但新的研究表明,Fitbit设备抵御不了一个简单的恶意攻击。更重要的是,恶意程序可以在用户不知情的情况下发送到Fitbit设备上同时恶意程序可以感染同步数据采集的计算机上。

Fitbit是一款可以记录你锻炼和运动量的手环设备,很受人们欢迎。但新的研究表明,Fitbit设备抵御不了一个简单的恶意攻击。更重要的是,恶意程序可以在用户不知情的情况下发送到Fitbit设备上同时恶意程序可以感染同步数据采集的计算机上。

十秒内黑掉Fitbit智能手环(附视频)

短时间内便可上传恶意程序

Fortinet公司的研究人员Axelle Apvrille发现了这种攻击行为,并写了关于这方面的报告。

最初的攻击行为发生在蓝牙,完成时间只需要10秒。黑客只需要在接近目标的发送恶意程序,然后等待目标连接到他或她的Fitbit设备到计算机上。当恶意程序上传到Fitbit设备时候就会在重启之后留存下来。

一旦完成,该攻击的第二阶段开始后,恶意程序可以感染计算机建立后门,上传木马病毒或者其它恶意程序。

Fortinet公司的研究人员Axelle Apvrille同时表示攻击者可以在蓝牙可接受范围内发送恶意程序包给受害者而其它过程都可以在恶意程序执行过程中完成,对于攻击者来说其它攻击在不在附近并不是很重要。

开放的不加密蓝牙成安全隐患

当受害者希望与服务器同步Fitbit设备的健身数据或更新他们的个人资料,健身跟踪器响应查询,但除了标准的消息,其余执行的都是恶意程序操作。

Apvrille接受采访时说,Fortinet虽然加密,但是很明显蓝牙是开放的。所以给攻击者造就了机会。

Fitbit正式推出了三款可穿戴设备,分别是Fitbit Charge、Fitbit Charge HR和Fitbit Surge。主要可以记录基本的健身数据,例如走过的步数、距离和台阶数量,睡觉时佩戴还会监测睡眠习惯,同时也有来电提醒的功能,该手环一次充电能使用7天。

演示视频

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2016-09-21 09:36:41

2014-05-22 13:48:40

乐跑手环智能手环运动手环

2015-06-08 09:52:14

2014-06-06 10:26:45

乐跑工匠情怀

2015-08-24 12:48:25

GOLiFE智能手环

2021-03-17 11:03:07

人工智能地震监测中国科学技术

2021-03-16 10:33:28

人工智能地震监测系统数据

2015-08-14 13:37:46

DEFCON磁盘安全

2018-01-26 10:10:45

Linux服务器性能

2014-09-29 16:39:43

儿童智能手环智能设备安全

2010-03-22 09:59:46

SQL Server

2019-10-10 16:49:18

Python镜音双子脚本语言

2013-06-05 09:35:28

2015-05-11 10:16:20

2017-07-24 13:13:00

智能AICIO

2018-03-02 10:58:17

人工智能AI律师

2022-07-14 09:39:51

Linux工具性能

2014-07-24 10:36:20

运动手环

2016-02-25 14:14:12

2013-11-13 16:57:16

点赞
收藏

51CTO技术栈公众号