V súčasnosti sú veľmi populárne najrôznejšie fitnes náramky, ktoré pomáhajú pri monitorovaní fyzickej aktivity, merajú spálené kalórie pri cvičení a pomáhajú zlepšovať si kondíciu. Tieto zariadenia tiež spracúvajú rôzne údaje osobného charakteru, ktoré by mali ostať v bezpečí. Spoločnosť Kaspersky Lab skúmala, ako rôzne fitnes náramky komunikujú zo smartfónom a prišla na zaujímavé zistenia.
Výsledky výskumu bezpečnostného analytika Kaspersky Lab ukazujú, že metóda autentifikácie implementovaná v mnohých predávaných inteligentných náramkoch umožňuje tretím stranám nenápadne sa pripojiť do zariadenia, spúšťať na ňom príkazy a v niektorých prípadoch aj stiahnuť osobné dáta zo zariadenia. Momentálne sú v náramkoch uložené prevažne len informácie o množstve nachodených krokov a spánkových cyklov, ale s nastupujúcou generáciou nositeľných zariadení vzrastie aj riziko straty ďalších citlivých informácií, napr. o zdravotnom stave používateľa.
Množstvo fitnes náramkov pritom ani nemá informačný displej, čo útok ešte viac uľahčuje. Na komunikáciu so smartfónom využíva väčšina fitnes náramkov technológiu Bluetooth LE známu aj ako Smart Bluetooth. To však znamená, že tieto zariadenia sa nepripájajú cez štandardne zabezpečenú Bluetooth technológiu a na spárovanie nevyžadujú heslo a to hlavne z dôvodu, že nemajú klávesnicu, či dotykový display na zadanie kódu. Ak potom náramok zavibrovaním požiada o spárovanie, používateľ nemá šancu vedieť, či stlačením tlačidla potvrdzuje spojenie so svojím zariadením, alebo so zariadením útočníka. Roman Unuček zo spoločnosti Kaspersky Lab bol pri svojom testovaní schopný sa takto na verejných priestranstvách v priebehu krátkeho času pripojiť k desiatkam fitnes náramkov.
„Na to, aby bol samotný útok úspešný, je nutné splniť viacero podmienok, pričom sa útočník zatiaľ ani nedostane ku skutočne citlivým údajom, ako sú heslá alebo číslo kreditnej karty. Napriek tomu tento test dokazuje, že hackeri môžu zneužiť chyby v softvéri nositeľných zariadení. Dnešné fitnes náramky nie sú ešte veľmi inteligentné, dokážu rátať počet krokov, či cyklov spánku, ale ďalšia generácia bude zhromažďovať stále viac potenciálne citlivých dát o používateľoch. Preto nad ich zabezpečením treba rozmýšľať už teraz a zaistiť bezpečnú interakciu nositeľných technológií a inteligentných zariadení,“ povedal Roman Unuček, senior malvér analytik Kaspersky Lab.
Viac podrobností na blogu „Ako som hackol svoj smart náramok“
