Ekspert z Kaspersky Lab przeprowadził badanie, z którego wynikło, że niektóre opaski fitnessowe mogą być podatne na ataki. Czy jest się czego obawiać?
Pewnego dnia Roman Unuchek, starszy analityk szkodliwego oprogramowania w Kaspersky Lab, wszedł w posiadanie inteligentnej opaski fitnessowej. Kiedy próbował sparować z nią swojego smartfona okazało się, że pomyłkowo sparował telefon z opaską kolegi. Zdziwiło go to i zdecydował przeprowadzić szerzej zakrojone badanie na temat „czy można połączyć się z opaską bez wiedzy właściciela”.
W trakcie badania, podczas podróży moskiewskim metrem, na siłowni w Stanach Zjednoczonych oraz w Meksyku, udało mu się podłączyć z 54 opaskami. Były to głównie FitBit i Jawbone, ale również pojedyncze opaski Nike, Microsoft, Polar i Quans. Łączny czas tego eksperymentu to 6 godzin.
Jak to możliwe?
Opaski fitnessowe parują się z innymi urządzeniami nie poprzez klasyczny Bluetooth, ale jego energooszczędnego brata – Bluetooth LE, znanego też jako Bluetooth Smart. Wiele opasek nie ma wyświetlacza ani tym bardziej klawiatury, więc parowanie odbywa się bez hasła. Zabezpieczeniem jest to, że aby dane zostały przesłane użytkownik musi na opasce nacisnąć przycisk. W praktyce może nawet nie zauważyć, że potwierdza przesyłanie danych do nieswojego urządzenia. Autor badania zauważa, że aby „przekonać” użytkownika do potwierdzenia transmisji wystarczy być cierpliwym i wielokrotnie próbować.
Teoretycznie, jeśli opaska jest już sparowana, to nie może być połączona z innym urządzeniem. Tu jednak też praktyka pokazuje co innego. Wystarczy, że w pierwszym smartfonie, z którym parowano, jest tymczasowo wyłączona komunikacja po Bluetoothie i parowanie z innym urządzeniem jest już możliwe.
„To, czy taka weryfikacja poprawności będzie działała poprawnie, zależy od wielu warunków, ostatecznie jednak atakujący i tak nie zdobędzie naprawdę istotnych danych, takich jak hasła czy numery kart kredytowych. Zostało jednak dowiedzione, że włamywacz może wykorzystać błędy, które zostały przeoczone przez twórców urządzenia” – tak badanie podsumowuje Unuchek.
Jakie mogą być niebezpieczeństwa?
„Obecnie dostępne urządzenia monitorujące aktywność fizyczną nadal nie są wystarczająco inteligentne. Potrafią wprawdzie zmierzyć liczbę kroków i monitorować cykle snu, ale poza tym niewiele więcej” – zauważa Unuchek i dodaje: – „Z drugiej strony, niebawem pojawi się nowa generacja takich urządzeń, które będą mogły zbierać o wiele więcej informacji o użytkownikach. Ważne jest, aby już dziś pomyśleć o bezpieczeństwie tego sprzętu i zapewnić odpowiednią ochronę w obszarze interakcji takiego gadżetu ze smartfonem.”
Dodajmy jeszcze, że nawet zbierane przez opaski zmiany pulsu mogą być czasem istotną informacją. Zhakowana opaska może dostarczać danych o reakcji na jakąś reklamę albo działać jak wykrywacz kłamstw.
Pełny raport z badania jest dostępny tutaj.