FortiNet安全研究员Axelle Apvrille指出,FitBit公司生产的健身追踪器“在理论上”能够用来传播恶意软件并在10秒内遭感染。
Axelle表示,漏洞很容易被利用,唯一的条件是攻击者需要物理接近受害者,这样可将健身追踪器与黑客笔记本用蓝牙连接。
通常将受感染网络数据包发送到健身追踪器的时间不超过10秒,而且发送完设备就会遭到持续性的感染,也就是说重启无法将追踪器清理干净。这种方式通常用于路由器和其它物联网设备。从这一点来看,这个追踪器就像一款恶意软件传播代理,会感染任何与之连接的设备。
FitBit健身追踪器可传播任意类型的恶意软件
安全专家表示,普通计算机和追踪器会被同时感染,攻击者可利用追踪器传播木马、勒索软件、广告软件等。Axelle在三月份就发现了这个漏洞并将其作为PoC报告给FitBit公司。显然公司并无修复的打算,认为并未出现在现实生活中且并未给用户带来任何威胁。
此前,FitBit公司已涉及两条安全新闻。2013年,黑客能够通过一个弱验证系统访问FitBit用户账户;而在2011年,用于用户的性活动详情被泄露到网上并且可通过搜索引擎访问。
安全专家将于美国当地时间22号举行的莱克星顿Hack.lu会议上展现研究成果。