Fitbit间谍软件可通过表盘窃取个人数据

近日，Immersive Labs Researcher的安全研究人员利用松垮的Fitbit隐私控制功能开发了一个恶意间谍软件表盘(概念验证)。证明利用开放的开发者API，攻击者可以开发出可访问Fitbit用户数据的恶意应用程序，并将其发送到任何服务器。

成都创新互联是一家专注于成都网站设计、网站制作、外贸营销网站建设和四川乐山服务器托管的网络公司，有着丰富的建站经验和案例。

Immersive Labs的网络威胁研究总监Kev Breen指出：

“从本质上讲，(开发者API)可以发送设备类型、位置和用户信息，包括性别、年龄、身高、心率和体重。”布雷恩解释说。“它还可以访问日历信息。尽管其中不包括PII个人资料数据，但日历邀请可能会暴露其他信息，例如姓名和位置。”

由于可以通过Fitbit开发API获得所有这些信息，因此开发应用程序进行攻击并不复杂。Breen很轻松就开发出了恶意表盘，随后他可以通过Fitbit Gallery(Fitbit的应用商店)发布。因此，这个间谍软件看起来合法，这大大提高了用户下载的可能性。

Breen解释说：“我们的间谍软件现已在fitbit.com上发布。重要的是要注意，尽管Fitbit并未将其视为‘可用于公共下载’，但该链接仍可在公共领域访问，而我们的‘恶意软件’仍可下载。”

Breen说，越多用户在任何移动设备上点击该链接，恶意软件的合法性就越来越高，它在Fitbit应用程序内打开，并且“所有缩略图都像是合法应用程序一样完美呈现，只需单击一下即可下载和安装，在Android和iPhone手机上都可以。”

Breen还发现，Fitbit的API允许对内部IP范围使用HTTP，他滥用这一点将恶意表盘变成原始的网络扫描仪。

他说：“有了这项功能，我们的表盘可能会威胁到企业。”“它可以用来做所有事情，从识别和访问路由器、防火墙和其他设备到暴力破解密码以及从公司的内部应用程序读取公司的内部网。”

冰山一角

截至本文发稿，Fitbit已经对Breen的安全报告做出回应，表示已迅速部署缓解措施。

当从专用链接安装应用程序时，Fitbit在用户界面中为用户添加了一条警告消息，它使消费者更容易识别即将安装的是否是公开列出的正规程序。

Breen说，Fitbit还致力于在授权流程中调整默认权限设置，使其默认为不选择。

然而，截至上周五，Breen的恶意表盘仍可在Fitbit应用商店中供大众访问。

Fitbit的安全漏洞只是近期一系列可穿戴物联网安全威胁的冰山一角，上周，联网成人用品(男性贞操环)发现严重漏洞，被黑客攻击锁死后，需要借助角磨机才能从器官上取下。

上个月，Mozi僵尸网络恶意软件占了IoT设备上全部流量的90%。而蓝牙欺骗漏洞让数十亿设备暴露在攻击火力之下，这些都让物联网安全态势进一步恶化。

通过专业的网站建设开发服务,帮助企业打造独特的品牌形象,提高市场竞争力。成都网站开发,十年建站经验,让您的网站更省心省时,更省力我们更专业,创新互联为您提供更省时更放心的建站方案。

戳这里，看该作者更多好文 

文章题目：Fitbit间谍软件可通过表盘窃取个人数据
URL链接：http://www.hantingmc.com/qtweb/news21/227571.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联