La Galería de Fitbit se puede utilizar para distribuir aplicaciones maliciosas

Un investigador de seguridad descubrió que las aplicaciones maliciosas para dispositivos Fitbit se pueden cargar en el dominio legítimo de Fitbit y los usuarios pueden instalarlas desde enlaces privados.

Con un poco de ingeniería social, los piratas informáticos podrían aprovechar esto y engañar a los usuarios para que agreguen aplicaciones para obtener la gran cantidad de información personal que generalmente recopilan los sensores de dispositivos Fitbit o el teléfono.

Fitbit desarrolla dispositivos portátiles para monitorear actividades físicas (relojes inteligentes, bandas) que brindan al usuario métricas como la cantidad de pasos dados o subidos, frecuencia cardíaca, calidad del sueño e historial de actividad. Varias aplicaciones móviles (salud, juegos, música, utilidades) de Fitbit y su comunidad de desarrolladores están publicadas en el sitio web oficial. Galería de Fitbit.

Gran cantidad de datos personales

Kevin Breen, director de investigación de amenazas en Talleres inmersivos, pudo cargar una aplicación maliciosa creada específicamente para verificar si pasaría las defensas de la tienda de aplicaciones en la Galería de Fitbit.

Impulsados ​​por la curiosidad por ver si este sería un método viable de ataque contra entornos corporativos, Breen incluido en el código de la aplicación que podría robar detalles del dispositivo, datos corporales personales y permitiría una conexión a conexiones corporativas para acciones maliciosas.

Calculó que, al ser proporcionada por el dominio legítimo de Fitbit, la aplicación evitaría las protecciones para instalaciones sospechosas o no autorizadas, razonando que resultó ser justa.

"Básicamente, podría enviar el tipo de dispositivo y la ubicación, información del usuario como sexo, edad, altura, frecuencia cardíaca y peso, así como acceso a la información del calendario. Si bien esto no incluye datos de perfil de PII, invitaciones El calendario podría exponer información adicional como nombres y ubicaciones ", señala el investigador en un relación hoy.

Afirma que todos los datos provienen del reloj Fitbit o del teléfono emparejado e incluyen la ubicación del GPS, la frecuencia cardíaca, los datos del acelerómetro, la presencia del cuerpo, así como los detalles del usuario como la edad, la altura, el sexo y la frecuencia cardíaca promedio.

Además, su aplicación de Android también podría conectarse al calendario y leer eventos si la sincronización está activada. En iOS, el permiso para acceder al calendario no estaba habilitado de forma predeterminada.

Dado que se puede ejecutar en segundo plano, todos los datos se pueden enviar a un servidor cuando hay una conexión a Internet disponible.

El investigador dice que el Fitbit Software Development Kit (SDK) expone una API web, accesible desde la aplicación para permitir (oAuth) una conexión a ella.

No todos los usuarios llegarían tan lejos al configurar su aplicación, pero aquellos que completen este paso encontrarán muchos datos privados y confidenciales disponibles: nombre, fecha de nacimiento, todo el historial de actividades, lista de amigos, horas de sueño. .

Adecuado para negocios

"Debido a que la API de recuperación permite el uso de HTTP para rangos de IP internos, también he logrado convertir el reloj malicioso en un escáner de red primitivo capaz de escanear y acceder a sitios y servicios de red internos" - Kevin Breen

Para lograr esto, solo fue necesario configurar un servidor para escanear las direcciones IP y el código que permitiría a la aplicación conectarse y ejecutar el código. Básicamente, esto convertirá el dispositivo Fitbit en un dispositivo que puede mapear la red corporativa e interactuar con los dispositivos disponibles (enrutadores, firewalls).

La aplicación maliciosa de Breen todavía está presente en la galería de Fitbit, accesible a través de un enlace privado. El investigador señala que no tiene un dominio de devolución de llamada configurado, para evitar la fuga de datos si se instala por error.

blank

Sin embargo, puede configurar manualmente una dirección de servidor desde la página de configuración de la aplicación. Incluso si no se expone públicamente, los atacantes aún podrían encontrarlo y explotarlo en ataques de phishing o usarlo como modelo para crear otras aplicaciones maliciosas para Fitbit.

Fitbit promete mitigaciones

Breen informó los problemas a Fitbit y recibió una pronta respuesta de la compañía informando que seguirían una serie de mitigaciones.

Fitbit dijo que, a diferencia de las aplicaciones privadas en su galería que no se han enviado oficialmente, las que están disponibles públicamente pasan por una verificación manual para asegurarse de que no se involucren en comportamientos maliciosos.

"Esto es algo estándar, pero en mi opinión, no resolvió el problema de las aplicaciones maliciosas que aún estaban disponibles en el dominio de Fitbit antes de que se presentaran oficialmente. Esto, en mi opinión, representó un vector de ingeniería social", dijo Breen.

Sin embargo, su investigación trajo algunos cambios para mejor. Los usuarios recibirán una advertencia al instalar una aplicación desde un enlace privado; si ya está instalado, se identificará en la lista de aplicaciones de Fitbit en su teléfono como no en la galería pública de Fitbit.

Estos cambios ya deberían estar activos. Fitbit también le dijo a Breen que una futura actualización ajustará los permisos durante el flujo de autorización para que estén desactivados de forma predeterminada y el usuario pueda seleccionarlos según sea necesario.

¿Qué te ha parecido?

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Ver más

  • Responsable: NELIDA HAYDEE SALDIVIA.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a KnownHost que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Subir
DiarioInforme utiliza cookies    Configurar y más información
Privacidad