近日，Immersive Labs Researcher的安全研究人員利用松垮的Fitbit隱私控制功能開(kāi)發(fā)了一個(gè)惡意間諜軟件表盤(pán)(概念驗(yàn)證)。證明利用開(kāi)放的開(kāi)發(fā)者API，攻擊者可以開(kāi)發(fā)出可訪(fǎng)問(wèn)Fitbit用戶(hù)數(shù)據(jù)的惡意應(yīng)用程序，并將其發(fā)送到任何服務(wù)器。

[[345881]]

Immersive Labs的網(wǎng)絡(luò)威脅研究總監(jiān)Kev Breen指出：

“從本質(zhì)上講，(開(kāi)發(fā)者API)可以發(fā)送設(shè)備類(lèi)型、位置和用戶(hù)信息，包括性別、年齡、身高、心率和體重。”布雷恩解釋說(shuō)。“它還可以訪(fǎng)問(wèn)日歷信息。盡管其中不包括PII個(gè)人資料數(shù)據(jù)，但日歷邀請(qǐng)可能會(huì)暴露其他信息，例如姓名和位置。”

由于可以通過(guò)Fitbit開(kāi)發(fā)API獲得所有這些信息，因此開(kāi)發(fā)應(yīng)用程序進(jìn)行攻擊并不復(fù)雜。Breen很輕松就開(kāi)發(fā)出了惡意表盤(pán)，隨后他可以通過(guò)Fitbit Gallery(Fitbit的應(yīng)用商店)發(fā)布。因此，這個(gè)間諜軟件看起來(lái)合法，這大大提高了用戶(hù)下載的可能性。

Breen解釋說(shuō)：“我們的間諜軟件現(xiàn)已在fitbit.com上發(fā)布。重要的是要注意，盡管Fitbit并未將其視為‘可用于公共下載’，但該鏈接仍可在公共領(lǐng)域訪(fǎng)問(wèn)，而我們的‘惡意軟件’仍可下載。”

Breen說(shuō)，越多用戶(hù)在任何移動(dòng)設(shè)備上點(diǎn)擊該鏈接，惡意軟件的合法性就越來(lái)越高，它在Fitbit應(yīng)用程序內(nèi)打開(kāi)，并且“所有縮略圖都像是合法應(yīng)用程序一樣完美呈現(xiàn)，只需單擊一下即可下載和安裝，在Android和iPhone手機(jī)上都可以。”

Breen還發(fā)現(xiàn)，F(xiàn)itbit的API允許對(duì)內(nèi)部IP范圍使用HTTP，他濫用這一點(diǎn)將惡意表盤(pán)變成原始的網(wǎng)絡(luò)掃描儀。

他說(shuō)：“有了這項(xiàng)功能，我們的表盤(pán)可能會(huì)威脅到企業(yè)。”“它可以用來(lái)做所有事情，從識(shí)別和訪(fǎng)問(wèn)路由器、防火墻和其他設(shè)備到暴力破解密碼以及從公司的內(nèi)部應(yīng)用程序讀取公司的內(nèi)部網(wǎng)。”

冰山一角

截至本文發(fā)稿，F(xiàn)itbit已經(jīng)對(duì)Breen的安全報(bào)告做出回應(yīng)，表示已迅速部署緩解措施。

當(dāng)從專(zhuān)用鏈接安裝應(yīng)用程序時(shí)，F(xiàn)itbit在用戶(hù)界面中為用戶(hù)添加了一條警告消息，它使消費(fèi)者更容易識(shí)別即將安裝的是否是公開(kāi)列出的正規(guī)程序。

Breen說(shuō)，F(xiàn)itbit還致力于在授權(quán)流程中調(diào)整默認(rèn)權(quán)限設(shè)置，使其默認(rèn)為不選擇。

然而，截至上周五，Breen的惡意表盤(pán)仍可在Fitbit應(yīng)用商店中供大眾訪(fǎng)問(wèn)。

Fitbit的安全漏洞只是近期一系列可穿戴物聯(lián)網(wǎng)安全威脅的冰山一角，上周，聯(lián)網(wǎng)成人用品(男性貞操環(huán))發(fā)現(xiàn)嚴(yán)重漏洞，被黑客攻擊鎖死后，需要借助角磨機(jī)才能從器官上取下。

上個(gè)月，Mozi僵尸網(wǎng)絡(luò)惡意軟件占了IoT設(shè)備上全部流量的90%。而藍(lán)牙欺騙漏洞讓數(shù)十億設(shè)備暴露在攻擊火力之下，這些都讓物聯(lián)網(wǎng)安全態(tài)勢(shì)進(jìn)一步惡化。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文