安全专家称10秒就能侵入Fitbit 感染绑定电脑
10月23日,据国外媒体报道,智能可穿戴设备厂商Fitbit的运动追踪器可被用于记录你的心跳、步数以及所消耗的卡路里,但法国网络安全公司Fortinet分析师阿克塞尔·艾弗里尔(Axelle Apvrille)宣称,从理论上说,只需要短短10秒钟就可侵入Fitbit追踪器,如此快速的攻击甚至可能导致任何与Fitbit追踪器绑定的电脑被感染。
艾弗里尔表示,她已经发现远程攻击Fitbit追踪器的方法,袭击者甚至可侵入与Fitbit追踪器保持同步的电脑中。这是首次有人宣称可对健身追踪器发动攻击,但这种方法还没有被真正的犯罪分子使用过。
艾弗里尔说,这种袭击可通过蓝牙侵入你的Fitbit追踪器,之后当你连接到电脑要同步资料时,犯罪分子就能将恶意程序植入,进而侵入电脑中。但是这需要罪犯接近到目标设备数米之内。艾弗里尔将在卢森堡举行的Hack.lu 2015大会上演示自己的发现。
艾弗里尔解释称:“攻击者可通过蓝牙向附近的健身追踪器发送被感染的数据包,其余的袭击随后会自动发生,对于附近的袭击者来说没有任何特别要求。当受害者将自己的健身数据同步到电脑上时,健身追踪器依然会响应查询,但除了传输标准信息外,里面还包括被感染的代码。这些恶意代码会被传到笔记本电脑上,打开后门,或令电脑崩溃,同时恶意代码还可感染其他健身追踪器。”
可是,总部位于加州的Fitbit公司驳斥这种言论,宣称其可穿戴设备不可能被用于传播恶意软件。3月份时,曾有报道称Fitbit已经意识到其设备在理论上可能被侵入,但后者对此予以驳斥。Fitbit公司发言人称:“作为健康与健身市场的领导者,Fitbit重点是要保护消费者的隐私,确保数据安全。我们认为所谓的‘安全问题’都是虚假的,Fitbit设备不可能用恶意软件感染用户电脑。我们将继续关注这个问题。”
这名发言人还称:“3月份的时候,Fortinet曾首次联系我们,宣称我们的设备存在与恶意软件相关的低严重性安全威胁。自那以后,我们始终保持开放渠道,以与Fortinet保持联系。但是到目前为止,我们还没有看到任何数据可以证明,利用健身追踪器可以散播恶意软件。我们与安全研究公司长期保持密切合作关系,并欢迎他们提供意见和反馈。得到客户的信任永远都是第一位的。我们为新产品精心设计安全措施,密切关注最新威胁,并对已确认的问题迅速作出反应。”