В программном обеспечении всех так называемых фитнес-трекеров Fitbit имеется критическая уязвимость, позволяющая любому злоумышленнику находящемуся в радиусе действия Bluetooth-модуля одного из таких устройств, очень быстро его взломать. Об этом сообщает сайт Engadget со ссылкой на специалиста по безопасности компании Fortinet.
Более того, взломанный трекер Fitbit позволяет «заразить» вредоносным ПО любой компьютер или мобильный девайс, к которому он будет подключен (синхронизирован). Как сообщил через свой Twitter-аккаунт сотрудник Fortinet Аксель Апврилль, при этом
«физический доступ (к трекеру) не требуется, необходимо просто находится рядом. Неважно, подключен ли он к чему-то или нет».
Таким образом, находясь на расстоянии, позволяющем подключится к FitBit через встроенный Bluetooth, злоумышленник может взломать защиту и «инфицировать» его всего за 10 секунд.
По словам эксперта, об этой уязвимости он сообщил непосредственно в FitBit еще в марте, однако никаких мер по ее устранению производитель не принял до сих пор. Основная же опасность, пишет Апврилль, состоит в том, что данная уязвимость не устраняется полной перезагрузкой девайса с возвращением его ПО к заводским установкам. Потому после взлома трекер может автоматически устанавливать вирусы, трояны и другое вредоносное ПО на подключаемые компьютеры и мобильные устройства в течение в течение неограниченного времени.
На запрос же сайта Engadget компания Fitbit ответила так:
» … мы считаем, что проблема с безопасностью, о которой сообщают сегодня, является обманом, и устройства Fitbit не могут быть использованы для заряжения пользователей вредоносным ПО.»
Со своей стороны Аксель Апврилль пообещал (через Twitter) изложить свои выводы в виде видеодемонстрации на специализированной конференции 2015.Hack.lu, которая сегодня открывается в Люксембурге:
[vsw id=»qa8qVAPPlTE» source=»youtube» width=»500″ height=»313″ autoplay=»no»]