Кейсы 4 февраля 2016

Фитнес-браслеты не прошли тест на кибербезопасность

Далее

Новый отчет утверждает, что большинство фитнес-браслетов не соответствуют стандартам кибербезопасности. Мошенники могут отследить буквально каждый шаг пользователя, не прилагая особых усилий.

Исследовательская группа Open Effect изучила восемь наиболее популярных носимых устройств с функциями фитнес-браслетов: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 и Xiaomi Mi Band. Из всех этих устройств тест на базовую безопасность прошли только часы Apple Watch.

Проблема носимых устройств заключается в Bluetooth сигнале, который они транслируют. С помощью него фитнес-браслет или часы взаимодействуют со смартфоном, передавая и получая информацию. Обычно эти данные зашифрованы. Но не в случае с Garmin Vivosmart и Withings Pulse O2.

Но даже при наличии шифрования хакер все равно может перехватить MAC-адрес — уникальный цифровой номер устройства. Вычислив этот адрес, мошенник сможет отслеживать все перемещения пользователя.

Фитнес-браслеты должны регулярно менять MAC-адрес. Но Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 и Xiaomi Mi Band этого не делают.

Также исследователи обнаружили, что в лог Jawbone UP 2 и Withings Pulse O2 можно загрузить ложную информацию. Например, исказить медицинские данные, которые передаются страховым компаниям.

В ответ на отчет Open Effect высказался представитель Withings. Он заявил, что устройство синхронизируется со смартфоном по Bluetooth в течение короткого промежутка времени. По его словам, за несколько секунд при случайных интервалах передачи данных перехватить их крайне сложно.

Представитель FitBit также заявил, что мошенник едва ли сможет вычислить, кому именно принадлежит то или иное фитнес-устройство, а значит, и данные, которые оно передает.