Το Immersive Labs Researcher εκμεταλλευόμενο τους ελέγχους απορρήτου του Fitbit, δημιούργησε ένα κακόβουλο watchface παρακολούθησης spyware.
Ένα ευρύ ανοιχτό API δημιουργίας εφαρμογών θα επέτρεπε σε έναν εισβολέα να δημιουργήσει μια κακόβουλη εφαρμογή που θα μπορούσε να έχει πρόσβαση στα δεδομένα χρηστών του Fitbit και να τα στείλει σε οποιονδήποτε διακομιστή.
Ο Kev Breen, διευθυντής της έρευνας για την απειλή στον κυβερνοχώρο για τα Immersive Labs, δημιούργησε ένα αποδεικτικό στοιχείο για αυτό το σενάριο, αφού συνειδητοποίησε ότι οι συσκευές Fitbit είναι φορτωμένες με ευαίσθητα προσωπικά δεδομένα.
«Ουσιαστικά, το [API προγραμματιστή] θα μπορούσε να στείλει τον τύπο της συσκευής, την τοποθεσία και τις πληροφορίες χρήστη, συμπεριλαμβανομένων φύλου, ηλικίας, ύψους, καρδιακού ρυθμού και βάρους», εξήγησε ο Breen. «Θα μπορούσε επίσης να έχει πρόσβαση σε πληροφορίες ημερολογίου. Αν και αυτό δεν περιλαμβάνει δεδομένα προφίλ PII, οι προσκλήσεις ημερολογίου θα μπορούσαν να εκθέσουν επιπλέον πληροφορίες, όπως ονόματα και τοποθεσίες. ”
Δεδομένου ότι όλες αυτές οι πληροφορίες είναι διαθέσιμες μέσω του API προγραμματιστή εφαρμογών Fitbit, ήταν μια απλή διαδικασία για τη δημιουργία μιας εφαρμογής για την εκτέλεση της επίθεσης. Οι προσπάθειες του Breen οδήγησαν σε ένα κακόβουλο watchface παρακολούθησης, το οποίο στη συνέχεια μπόρεσε να διαθέσει μέσω της Γκαλερί Fitbit (όπου το Fitbit παρουσιάζει διάφορες εφαρμογές τρίτων και εσωτερικών χώρων). Έτσι, το spyware φαίνεται νόμιμο και αυξάνει την πιθανότητα λήψης του.
«Χρησιμοποιώντας έναν πίνακα ελέγχου που χρησιμοποιείται από ομάδες ανάπτυξης για προεπισκόπηση εφαρμογών, υπέβαλα το λογισμικό υποκλοπής spyware και σύντομα είχα τη δική μας διεύθυνση URL στη διεύθυνση https://gallery.fitbit.com/details/ <αφαιρέθηκε>», εξήγησε. «Το λογισμικό υποκλοπής μας ήταν πλέον διαθέσιμο στο fitbit.com. Είναι σημαντικό να σημειωθεί ότι ενώ το Fitbit δεν το μετράει ως «διαθέσιμο για δημόσια λήψη», ο σύνδεσμος ήταν ακόμη προσβάσιμος στον δημόσιο τομέα και το «κακόβουλο λογισμικό» μας ήταν ακόμα διαθέσιμο για λήψη. ”
Αυξάνοντας τον αέρα της νομιμότητας, όταν έγινε κλικ στον σύνδεσμο σε οποιαδήποτε κινητή συσκευή, άνοιξε μέσα στην εφαρμογή Fitbit με “όλες οι μικρογραφίες αποδίδονται τέλεια σαν να ήταν μια νόμιμη εφαρμογή”, δήλωσε ο Breen. “Από εκεί, ήταν απλά ένα γρήγορο κλικ για λήψη και εγκατάσταση, το οποίο έκανα τόσο με Android όσο και με iPhone.”
Ο Breen διαπίστωσε επίσης ότι το API ανάκτησης του Fitbit επιτρέπει τη χρήση HTTP σε εσωτερικές περιοχές IP, το οποίο κατάχρησε για να μετατρέψει το κακόβουλο watchface παρακολούθησης σε πρωτόγονο σαρωτή δικτύου.
«Με αυτή τη λειτουργικότητα, το ρολόι μας θα μπορούσε να αποτελέσει απειλή για την επιχείρηση», είπε. “Θα μπορούσε να χρησιμοποιηθεί για να κάνει τα πάντα, από τον εντοπισμό και την πρόσβαση σε δρομολογητές, τείχη προστασίας και άλλες συσκευές, έως τους σκληρούς κωδικούς πρόσβασης και την ανάγνωση του ενδοδικτύου της εταιρείας – όλα μέσα από την εφαρμογή στο τηλέφωνο.”
Fitbit Fix
Αφού ήρθε σε επαφή με τη Fitbit σχετικά με τα ζητήματα, o Breen είπε ότι η εταιρεία ανταποκρίθηκε και δεσμεύτηκε να πραγματοποιήσει τις απαραίτητες αλλαγές για να μετριάσει τις μελλοντικές παραβιάσεις.
«Η εμπιστοσύνη των πελατών μας είναι υψίστης σημασίας, και δεσμευόμαστε να προστατεύουμε το απόρρητο των καταναλωτών και να διατηρούμε τα δεδομένα ασφαλή», δήλωσε ο Fitbit στο Threatpost. «Απαντήσαμε αμέσως όταν επικοινωνήσαμε με αυτόν τον ερευνητή και εργαστήκαμε γρήγορα και συνεργατικά για να αντιμετωπίσουμε τις ανησυχίες που έθεσαν. Δεν γνωρίζουμε κανέναν πραγματικό συμβιβασμό των δεδομένων χρήστη. ”
Το Fitbit έχει προσθέσει ένα προειδοποιητικό μήνυμα για χρήστες εντός της διεπαφής χρήστη κατά την εγκατάσταση μιας εφαρμογής από έναν ιδιωτικό σύνδεσμο και διευκόλυνε τους καταναλωτές να εντοπίσουν ποιες εγκατεστημένες εφαρμογές / ρολόγια στην κινητή συσκευή δεν αναφέρονται δημόσια.
Ο Breen είπε ότι η Fitbit έχει επίσης δεσμευτεί να προσαρμόσει τις προεπιλεγμένες ρυθμίσεις αδειών κατά τη ροή εξουσιοδότησης ώστε να εξαιρεθεί από προεπιλογή.
Όσον αφορά την ευκολία μεταφόρτωσης της κακόβουλης εφαρμογής στη συλλογή, “μας ενημερώθηκαν ότι οι εφαρμογές που υποβλήθηκαν στη Συλλογή Fitbit για δημόσια λήψη υποβάλλονται σε μη αυτόματο έλεγχο και ότι προφανές το λογισμικό υποκλοπής spyware ή εφαρμογές που μεταμφιέζονται ως κάτι άλλο είναι πιθανό να παγιδευτούν και να αποκλειστούν, δημοσίευσε.”
Ωστόσο, το κακόβουλο watchface παρακολούθησης του Breen ήταν ακόμη προσβάσιμο στο κοινό ως τις αρχές της Παρασκευής. [Καταργήθηκε αργότερα στην ημέρα.]
“Ενθαρρύνουμε τους καταναλωτές να εγκαταστήσουν μόνο εφαρμογές από πηγές που γνωρίζουν και εμπιστεύονται και να προσέχουν ποια δεδομένα μοιράζονται με τρίτα μέρη”, κατέληξε το Fitbit. “Δίνουμε στους χρήστες μας τον έλεγχο για τα δεδομένα που μοιράζονται και με ποιον.”
Το Fitbit δεν είναι μόνο του στην εκπροσώπηση μιας επιφάνειας απειλής στο Διαδίκτυο. Ο τεράστιος αριθμός των συσκευών IoT που έρχονται στο διαδίκτυο καθημερινά καθιστά δύσκολο για την κοινότητα ασφαλείας να μείνει μπροστά από κακόβουλους ηθοποιούς.
Τον περασμένο μήνα, οι ερευνητές συνειδητοποίησαν ότι το λογισμικό Mozi botnet peer-to-peer αντιπροσώπευε το 90% της επισκεψιμότητας σε συσκευές IoT. Και το σφάλμα πλαστογράφησης Bluetooth βρέθηκε πρόσφατα ότι αφήνει ευάλωτα δισεκατομμύρια συσκευές.
Καθώς πλησιάζει ο υπόλοιπος κλάδος, οι τελικοί χρήστες πρέπει να έχουν την εξουσία να λαμβάνουν προφυλάξεις για την προστασία των δεδομένων τους.
Ο Breen προσφέρει αυτή τη συμβουλή. “Σε περίπτωση αμφιβολίας, μην το εγκαταστήσετε.”
[signoff]
Πηγή: https://threatpost.com/
