最近,ImmersiveLabsResearcher的安全研究人员利用宽松的Fitbit隐私控制开发了恶意间谍软件表盘(概念验证)。证明攻击者可以使用开放的开发人员API开发恶意应用程序,这些应用程序可以访问Fitbit用户数据并将它们发送到任何服务器。“本质上,(开发者API)可以发送设备类型、位置和用户信息,包括性别、年龄、身高、心率和体重,”ImmersiveLabs网络威胁研究主管KevBreen指出,Breen解释说。“它还可以访问日历信息。虽然它不包括PII配置文件数据,但日历邀请可能会暴露其他信息,例如姓名和位置。”由于所有这些信息都可以通过Fitbit的开发API获得,因此开发应用程序进行攻击并不复杂。Breen轻而易举地开发了一个恶意表盘,然后他可以通过FitbitGallery(Fitbit的应用程序商店)进行分发。因此,这个间谍软件看起来是合法的,这大大增加了用户下载它的可能性。Breen解释说:“我们的间谍软件现在出现在fitbit.com上。需要注意的是,虽然Fitbit认为它不‘可供公众下载’,但该链接仍然在公共领域可用,而我们的‘恶意软件’仍然存在可供下载。”Breen表示,用户在任何移动设备上点击链接的次数越多,恶意软件就越合法,它会在Fitbit应用程序中打开,“所有缩略图都完美呈现为合法应用程序,一键下载并安装,在Android和和iPhone。”Breen还发现Fitbit的API允许HTTP到内部IP范围,他滥用了将恶意表盘变成原始网络扫描仪。“有了这种能力,我们就有了一个可能对企业构成威胁的表盘,”他说。“它可以用来做任何事情,从识别和访问路由器、防火墙和其他设备到暴力破解密码和访问公司内部应用程序的数据。”阅读公司的内部网。”冰山一角在撰写本文时,Fitbit已对Breen的安全报告作出回应,称其已迅速部署缓解措施。Fitbit在用户界面中为用户添加了从专用链接安装应用程序时的警告消息,这使消费者更容易识别即将安装的是否是合法的、公开列出的程序。Breen说,Fitbit还在努力调整授权过程中的默认权限设置,使其默认为无选择。然而,截至上周五,Breen的恶意表盘仍可在Fitbit应用商店中公开访问。Fitbit的安全漏洞只是最近一系列可穿戴物联网安全威胁的冰山一角。上周,一款联网的成人用品(男性贞操戒指)被发现存在严重漏洞。向下。上个月,Mozi僵尸网络恶意软件占物联网设备所有流量的90%。蓝牙欺骗漏洞使数十亿设备受到攻击,进一步加剧了物联网安全形势。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
