Braccialetto Fitbit infettabile troppo facilmente?

Fortinet dice di sì, Fitbit nega.



[ZEUS News - www.zeusnews.it - 26-10-2015]

fitbit

Nuove frontiere dell'Internet delle Cose, o meglio, dell'Internet delle Cose Insicure: il braccialetto di fitness Fitbit Flex può veicolare infezioni informatiche ed è attaccabile a distanza in dieci secondi. Si tratta della prima dimostrazione pratica di un attacco informatico condotto sfruttando un dispositivo digitale di monitoraggio dell'attività fisica.

La ricercatrice Axelle Apvrille, della società di sicurezza Fortinet, descrive in dettaglio la tecnica che ha usato per questo virtuosismo informatico, che per ora è puramente dimostrativo (video) e non è in circolazione: un aggressore situato nelle immediate vicinanze della vittima manda al braccialetto, via Bluetooth, un apposito pacchetto di dati infetto, e poi si allontana. Il braccialetto accetta il pacchetto senza fare alcun controllo e la fase attiva dell'attacco è già conclusa.

Quando la vittima sincronizza il braccialetto con i server della Fitbit per aggiornare il proprio profilo, lo scambio di messaggi contiene i dati infetti. Dato che il braccialetto viene spesso collegato a un computer, il codice infetto può essere recapitato al computer per infettarlo, per esempio per aprire una backdoor, causare un crash oppure propagare l'infezione ad altri braccialetti.

L'attacco è particolarmente subdolo perché l'utente non si aspetta che un braccialetto di fitness possa essere un bersaglio e un veicolo d'infezione, e non è l'unico successo di Apvrille, che è riuscita ad alterare il numero di passi contati e la distanza percorsa per guadagnare punti che possono essere convertiti in sconti e premi.

Sondaggio
Stai installando un'applicazione. Cosa fai quanto compare il contratto di licenza?
Lo leggo attentamente e poi faccio click su “Accetto”
Do un sguardo al testo e poi accetto
Dipende dall'applicazione. A volte leggo il contratto di licenza
Non leggo mai il contratto di licenza. È davvero indispensabile?
Leggo il contratto di licenza dopo aver installato l'applicazione

Mostra i risultati (1469 voti)
Leggi i commenti (7)

Fitbit è stata avvisata della falla a marzo scorso da Fortinet, ma non l'ha ancora corretta. Ora che la falla è stata resa pubblica può darsi che cambi idea, ma l'azienda ha dichiarato senza mezzi termini che "le questioni di sicurezza segnalate sono false e i dispositivi Fitbit non possono essere usati per infettare gli utenti con del malware".

Non è la prima volta che questo braccialetto di fitness viene colto in fallo: nel 2013 emerse che era possibile falsificare le informazioni di login per accedere a qualunque account Fitbit e vincere premi, mentre nel 2011 le attività amorose degli utenti furono rese pubbliche tramite ricerche via Web che permettevano di sapere chi si era dedicato a sforzi "energici" oppure "passivi e leggeri".

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (1)

L'internet delle cose è per sua natura poco sicuro e lo sarà sino a quando chi "marchia" il prodotto non sarà obbligato a dare modo all'utilizzatore di aggiornare il prodotto. lo stesso vale anche per gli smartphone android (forse anche per iphone non so). ma non solo... non è detto che tutte le funzioni smart siano attive per... Leggi tutto
26-10-2015 20:15

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Wikileaks (con il suo fondatore Julian Assange)...
è un sito pirata, pericolo per l'occidente.
è un paladino della libera informazione e della trasparenza.

Mostra i risultati (3487 voti)
Aprile 2024
L'algoritmo di ricarica che raddoppia la vita utile delle batterie
Hype e Banca Sella, disservizi a profusione
Falla nei NAS D-Link, ma la patch non arriverà mai
La navigazione in incognito non è in incognito
Le tre stimmate della posta elettronica
Amazon abbandona i negozi coi cassieri a distanza
Marzo 2024
Buone azioni e serrature ridicole
Il piano Merlyn, ovvero la liquidazione di Tim
Falla nelle serrature elettroniche, milioni di stanze d'hotel a rischio
L'antenato di ChatGPT in un foglio Excel
La valle inquietante
La crisi di Tim e la divisione sindacale
La fine del mondo, virtuale
WhatsApp e Messenger aprono agli altri servizi di chat
Permainformatica
Tutti gli Arretrati
Accadde oggi - 20 aprile


web metrics