Luki bezpieczeństwa w opaskach fitness

Dzisiejsze smartbandy przetwarzają raczej mało istotne dane - liczbę kroków, przebyty dystans, ilość spalonych kalorii. Jednak ich kolejne generacje, które będą przechowywały większą ilość danych, takich jak chociażby poufne informacje medyczne, będą mogły stanowić łatwy cel ataku cyberprzestępców.

Roman Unuchek – badacz z Kaspersky Lab -sprawdził, w jaki sposób różne opaski fitnessowe wchodzą w interakcje ze smartfonem i uzyskał kilka zaskakujących wyników. Według wyników badania metoda uwierzytelniania zastosowana w kilku popularnych „inteligentnych” opaskach pozwala osobie trzeciej połączyć się ukradkiem z urządzeniem, wykonać polecenia i – w niektórych przypadkach – pobrać przechowywane na nim dane.

Nieautoryzowane połączenie jest możliwe dzięki metodzie sparowania opaski ze smartfonem. Badanie ujawniło, że urządzenie z systemem Android 4.3 lub nowszym, na którym zainstalowano specjalną, nieautoryzowaną aplikację, może zostać sparowane z opaskami określonych producentów. Aby ustanowić połączenie, użytkownicy muszą potwierdzić takie sparowanie, wciskając przycisk na opasce. Jednak, potencjalni atakujący mogą łatwo obejść ten mechanizm, ponieważ większość nowoczesnych opasek nie posiada żadnych wyświetlaczy. Gdy opaska wibruje, prosząc właściciela o potwierdzenie sparowania, ofiara nie wie, czy potwierdza połączenie z własnym czy cudzym urządzeniem.

„To, czy taka weryfikacja poprawności będzie działała poprawnie, zależy od wielu warunków, ostatecznie jednak atakujący i tak nie zdobędzie naprawdę istotnych danych, takich jak hasła czy numery kart kredytowych. Zostało jednak dowiedzione, że włamywacz może wykorzystać błędy, które zostały przeoczone przez twórców urządzenia. Obecnie dostępne urządzenia monitorujące aktywność fizyczną nadal nie są wystarczająco inteligentne.

Na ten moment nawet jeśli osoba trzecia wykorzysta taką lukę bezpieczeństwa, konsekwencje takiego włamania nie będą wielkie. Cyberprzestępca nie uzyska informacji na temat prywatnych danych czy numerów kont bankowych – co najwyżej będzie wiedział jak długo śpimy i ile kroków robimy dziennie. Ale łatwo wyobrazić sobie moment, w którym takie urządzenia będą połączone z szeregiem aplikacji medycznych przechowujących istotniejsze informacje. Miejmy nadzieję, że do tego czasu producenci opracują sprawniejsze metody zabezpieczeń.