Braccialetto Fitbit infettabile troppo facilmente?
Fortinet dice di sì, Fitbit nega.
[ZEUS News - www.zeusnews.it - 26-10-2015]
Nuove frontiere dell'Internet delle Cose, o meglio, dell'Internet delle Cose Insicure: il braccialetto di fitness Fitbit Flex può veicolare infezioni informatiche ed è attaccabile a distanza in dieci secondi. Si tratta della prima dimostrazione pratica di un attacco informatico condotto sfruttando un dispositivo digitale di monitoraggio dell'attività fisica.
La ricercatrice Axelle Apvrille, della società di sicurezza Fortinet, descrive in dettaglio la tecnica che ha usato per questo virtuosismo informatico, che per ora è puramente dimostrativo (video) e non è in circolazione: un aggressore situato nelle immediate vicinanze della vittima manda al braccialetto, via Bluetooth, un apposito pacchetto di dati infetto, e poi si allontana. Il braccialetto accetta il pacchetto senza fare alcun controllo e la fase attiva dell'attacco è già conclusa.
Quando la vittima sincronizza il braccialetto con i server della Fitbit per aggiornare il proprio profilo, lo scambio di messaggi contiene i dati infetti. Dato che il braccialetto viene spesso collegato a un computer, il codice infetto può essere recapitato al computer per infettarlo, per esempio per aprire una backdoor, causare un crash oppure propagare l'infezione ad altri braccialetti.
L'attacco è particolarmente subdolo perché l'utente non si aspetta che un braccialetto di fitness possa essere un bersaglio e un veicolo d'infezione, e non è l'unico successo di Apvrille, che è riuscita ad alterare il numero di passi contati e la distanza percorsa per guadagnare punti che possono essere convertiti in sconti e premi.
|
Fitbit è stata avvisata della falla a marzo scorso da Fortinet, ma non l'ha ancora corretta. Ora che la falla è stata resa pubblica può darsi che cambi idea, ma l'azienda ha dichiarato senza mezzi termini che "le questioni di sicurezza segnalate sono false e i dispositivi Fitbit non possono essere usati per infettare gli utenti con del malware".
Non è la prima volta che questo braccialetto di fitness viene colto in fallo: nel 2013 emerse che era possibile falsificare le informazioni di login per accedere a qualunque account Fitbit e vincere premi, mentre nel 2011 le attività amorose degli utenti furono rese pubbliche tramite ricerche via Web che permettevano di sapere chi si era dedicato a sforzi "energici" oppure "passivi e leggeri".
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
|
|
|
(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.
Commenti all'articolo (1)
26-10-2015 20:15
|
|
||
|
- Al caffe' dell'Olimpo:
[GIOCO] Il Bersaglio - Motori di ricerca:
I motori di ricerca & la privacy - Tablet e smartphone:
Utilizzo smartphone - Internet - generale:
Come interagite con la IA? - Aiuto per i forum / La Posta di Zeus / Regolamento:
Avvisi risposte e notifiche MP non mi arrivano - Altra ferraglia stand-alone:
Android TV e smart TV - Sicurezza:
Abbonamento ad antivirus con prova gratuita - Programmazione:
Evoluzione di carriera: da Sviluppatore IBM i a
PM/Tech Lead - Windows 11, 10:
Comparsa di un Disco Locale sconosciuto - Linux:
Infloww su linux, si può?
