信息化觀察網(wǎng)

黑客通過員工的智能手環(huán)/手表竊取個人隱私并泄露企業(yè)網(wǎng)絡(luò)敏感數(shù)據(jù)？這聽上去有些駭人聽聞，但已成事實。

近日，Immersive Labs Researcher的安全研究人員利用松垮的Fitbit隱私控制功能開發(fā)了一個惡意間諜軟件表盤（概念驗證）。證明利用開放的開發(fā)者API，攻擊者可以開發(fā)出可訪問Fitbit用戶數(shù)據(jù)的惡意應(yīng)用程序，并將其發(fā)送到任何服務(wù)器。

Immersive Labs的網(wǎng)絡(luò)威脅研究總監(jiān)Kev Breen指出：

“從本質(zhì)上講，（開發(fā)者API）可以發(fā)送設(shè)備類型、位置和用戶信息，包括性別、年齡、身高、心率和體重。”布雷恩解釋說。“它還可以訪問日歷信息。盡管其中不包括PII個人資料數(shù)據(jù)，但日歷邀請可能會暴露其他信息，例如姓名和位置。”

由于可以通過Fitbit開發(fā)API獲得所有這些信息，因此開發(fā)應(yīng)用程序進行攻擊并不復(fù)雜。Breen很輕松就開發(fā)出了惡意表盤，隨后他可以通過Fitbit Gallery（Fitbit的應(yīng)用商店）發(fā)布。因此，這個間諜軟件看起來合法，這大大提高了用戶下載的可能性。

Breen解釋說：“我們的間諜軟件現(xiàn)已在fitbit.com上發(fā)布。重要的是要注意，盡管Fitbit并未將其視為‘可用于公共下載’，但該鏈接仍可在公共領(lǐng)域訪問，而我們的‘惡意軟件’仍可下載。”

Breen說，越多用戶在任何移動設(shè)備上點擊該鏈接，惡意軟件的合法性就越來越高，它在Fitbit應(yīng)用程序內(nèi)打開，并且“所有縮略圖都像是合法應(yīng)用程序一樣完美呈現(xiàn)，只需單擊一下即可下載和安裝，在Android和iPhone手機上都可以。”

Breen還發(fā)現(xiàn)，F(xiàn)itbit的API允許對內(nèi)部IP范圍使用HTTP，他濫用這一點將惡意表盤變成原始的網(wǎng)絡(luò)掃描儀。

他說：“有了這項功能，我們的表盤可能會威脅到企業(yè)。”“它可以用來做所有事情，從識別和訪問路由器、防火墻和其他設(shè)備到暴力破解密碼以及從公司的內(nèi)部應(yīng)用程序讀取公司的內(nèi)部網(wǎng)。”

冰山一角

截至本文發(fā)稿，F(xiàn)itbit已經(jīng)對Breen的安全報告做出回應(yīng)，表示已迅速部署緩解措施。

當從專用鏈接安裝應(yīng)用程序時，F(xiàn)itbit在用戶界面中為用戶添加了一條警告消息，它使消費者更容易識別即將安裝的是否是公開列出的正規(guī)程序。

Breen說，F(xiàn)itbit還致力于在授權(quán)流程中調(diào)整默認權(quán)限設(shè)置，使其默認為不選擇。

然而，截至上周五，Breen的惡意表盤仍可在Fitbit應(yīng)用商店中供大眾訪問。

Fitbit的安全漏洞只是近期一系列可穿戴物聯(lián)網(wǎng)安全威脅的冰山一角，上周，聯(lián)網(wǎng)成人用品（男性貞操環(huán)）發(fā)現(xiàn)嚴重漏洞，被黑客攻擊鎖死后，需要借助角磨機才能從器官上取下。

上個月，Mozi僵尸網(wǎng)絡(luò)惡意軟件占了IoT設(shè)備上全部流量的90％。而藍牙欺騙漏洞讓數(shù)十億設(shè)備暴露在攻擊火力之下，這些都讓物聯(lián)網(wǎng)安全態(tài)勢進一步惡化。