信息化觀察網(wǎng)

黑客通過(guò)員工的智能手環(huán)/手表竊取個(gè)人隱私并泄露企業(yè)網(wǎng)絡(luò)敏感數(shù)據(jù)？這聽(tīng)上去有些駭人聽(tīng)聞，但已成事實(shí)。

近日，Immersive Labs Researcher的安全研究人員利用松垮的Fitbit隱私控制功能開(kāi)發(fā)了一個(gè)惡意間諜軟件表盤（概念驗(yàn)證）。證明利用開(kāi)放的開(kāi)發(fā)者API，攻擊者可以開(kāi)發(fā)出可訪問(wèn)Fitbit用戶數(shù)據(jù)的惡意應(yīng)用程序，并將其發(fā)送到任何服務(wù)器。

Immersive Labs的網(wǎng)絡(luò)威脅研究總監(jiān)Kev Breen指出：

“從本質(zhì)上講，（開(kāi)發(fā)者API）可以發(fā)送設(shè)備類型、位置和用戶信息，包括性別、年齡、身高、心率和體重。”布雷恩解釋說(shuō)。“它還可以訪問(wèn)日歷信息。盡管其中不包括PII個(gè)人資料數(shù)據(jù)，但日歷邀請(qǐng)可能會(huì)暴露其他信息，例如姓名和位置。”

由于可以通過(guò)Fitbit開(kāi)發(fā)API獲得所有這些信息，因此開(kāi)發(fā)應(yīng)用程序進(jìn)行攻擊并不復(fù)雜。Breen很輕松就開(kāi)發(fā)出了惡意表盤，隨后他可以通過(guò)Fitbit Gallery（Fitbit的應(yīng)用商店）發(fā)布。因此，這個(gè)間諜軟件看起來(lái)合法，這大大提高了用戶下載的可能性。

Breen解釋說(shuō)：“我們的間諜軟件現(xiàn)已在fitbit.com上發(fā)布。重要的是要注意，盡管Fitbit并未將其視為‘可用于公共下載’，但該鏈接仍可在公共領(lǐng)域訪問(wèn)，而我們的‘惡意軟件’仍可下載。”

Breen說(shuō)，越多用戶在任何移動(dòng)設(shè)備上點(diǎn)擊該鏈接，惡意軟件的合法性就越來(lái)越高，它在Fitbit應(yīng)用程序內(nèi)打開(kāi)，并且“所有縮略圖都像是合法應(yīng)用程序一樣完美呈現(xiàn)，只需單擊一下即可下載和安裝，在Android和iPhone手機(jī)上都可以。”

Breen還發(fā)現(xiàn)，F(xiàn)itbit的API允許對(duì)內(nèi)部IP范圍使用HTTP，他濫用這一點(diǎn)將惡意表盤變成原始的網(wǎng)絡(luò)掃描儀。

他說(shuō)：“有了這項(xiàng)功能，我們的表盤可能會(huì)威脅到企業(yè)。”“它可以用來(lái)做所有事情，從識(shí)別和訪問(wèn)路由器、防火墻和其他設(shè)備到暴力破解密碼以及從公司的內(nèi)部應(yīng)用程序讀取公司的內(nèi)部網(wǎng)。”

冰山一角

截至本文發(fā)稿，F(xiàn)itbit已經(jīng)對(duì)Breen的安全報(bào)告做出回應(yīng)，表示已迅速部署緩解措施。

當(dāng)從專用鏈接安裝應(yīng)用程序時(shí)，F(xiàn)itbit在用戶界面中為用戶添加了一條警告消息，它使消費(fèi)者更容易識(shí)別即將安裝的是否是公開(kāi)列出的正規(guī)程序。

Breen說(shuō)，F(xiàn)itbit還致力于在授權(quán)流程中調(diào)整默認(rèn)權(quán)限設(shè)置，使其默認(rèn)為不選擇。

然而，截至上周五，Breen的惡意表盤仍可在Fitbit應(yīng)用商店中供大眾訪問(wèn)。

Fitbit的安全漏洞只是近期一系列可穿戴物聯(lián)網(wǎng)安全威脅的冰山一角，上周，聯(lián)網(wǎng)成人用品（男性貞操環(huán)）發(fā)現(xiàn)嚴(yán)重漏洞，被黑客攻擊鎖死后，需要借助角磨機(jī)才能從器官上取下。

上個(gè)月，Mozi僵尸網(wǎng)絡(luò)惡意軟件占了IoT設(shè)備上全部流量的90％。而藍(lán)牙欺騙漏洞讓數(shù)十億設(shè)備暴露在攻擊火力之下，這些都讓物聯(lián)網(wǎng)安全態(tài)勢(shì)進(jìn)一步惡化。