На ИБ-конференции в Люксембурге исследовательница из Fortinet Аксель Апвриль (Axelle Apvrille) продемонстрировала атаку на популярный фитнес-браслет Fitbit Flex, в ходе которой, как позже написали в СМИ, фитнес-браслет может распространять вирусы на подключенные устройства и другие девайсы Fitbit.

В марте Апвриль нашла уязвимость, о которой доложила вендору, но патч так и не вышел. Эксплуатируя брешь в соединении Bluetooth, исследовательница смогла за 10 секунд внедрить в устройство вредоносный пакет.

«При попытке синхронизации данных с серверами Fitbit трекер отвечает на запрос, но ответ, уходящий на сервер, уже содержит инфицированный код. Оттуда вредоносный код может попасть на подключаемое к сервису устройство, а оттуда через бэкдор — и на другие трекеры», — цитирует слова Апвриль издание Net Security.

Также, по заявлению исследовательницы, ей удалось обмануть трекер, программным способом заставив его регистрировать движения даже в состоянии покоя.

«Интернет вещей и распространение беспроводных устройств способствуют развитию новых типов атак», — предупредила Апвриль.

По ее словам, у Fitbit было достаточно времени на разработку патча, но Fortinet следует общепринятым правилам публикации уязвимостей. Чтобы не допустить эксплуатацию известного бага, Fortinet решила не разглашать подробности эксплойта.

После выхода многочисленных статей о том, что браслеты Fitbit заражают другие устройства, Fitbit, в свою очередь, выпустила уточняющее заявление, в котором отрицает возможность распространения вирусов через фитнес-браслеты. Производитель приводит слова самой Апвриль, которая подтвердила, что сценарий, при котором браслеты Fitbit могут заразить другие устройства, возможен только в теории и неосуществим на практике и пользователям нечего опасаться.

Апвриль также подтвердила в Twitter, что в ходе PoC-демонстрации она использовала брешь для исполнения произвольного кода, а не распространения вирусов. Для того чтобы исполнить произвольный код на браслете, необходимо исполнить вредоносный код на хосте жертвы, для чего, в свою очередь, нужен эксплойт для хоста синхронизации. Однако, по мнению исследовательницы, распространение компактного вируса таким образом все равно считается теоретически возможным, хотя вероятность этого сценария пока не подтверждена на практике.

Категории: Уязвимости