Видео: ÐÑÐµÐ¼Ñ Ð¸ СÑекло Так вÑпала ÐаÑÑа HD VKlipe Net (Септември 2024)
Когато уцелите 10 000 стъпки или постигнете друга цел за фитнес проследяване, искате да споделите постиженията си с приятели, нали? В зависимост от това кое устройство използвате, може също да споделяте личната си информация със света или с всички наблизо. Изследователи от AV-Test Institute са анализирали сигурността на девет популярни фитнес тракера и някои от техните открития не са били много.
Накратко, Fitbit Charge и Acer Liquid Leap изобщо не осигуряват Bluetooth връзките си. Това означава, че вашите данни подлежат на прекарване на пръст. Jawbone Up24 и Sony Smartband Talk SWR30 свършиха най-добрата работа за защита на данните на потребителя.
Разбира се само един продукт от продуктовата линия на всяка компания беше тестван, но благоразумието диктува, ако се приеме, че констатациите се прилагат навсякъде. Това, че имате Fitbit Surge, а не Fitbit Charge, не означава, че сте в безопасност.
На кого му пука?
Но изчакайте, може да кажете, не ме интересува кой вижда данните ми; Гордея се с моята фитнес! Докладът отбелязва доста причини, поради които това отношение може да е наивно. Например, някои здравни застрахователи предлагат по-ниски цени на клиентите, които доказват своята годност, използвайки тракер. Недобросъвестен потребител може да отвлече данните на по-подходящ съсед, за да получи по-ниския процент, или да го открадне и да го задържи за откуп.
Ако данните на устройството не са защитени, това може да бъде променено отвън. "Не след дълго децата ще играят шеги на джогинга, като увеличат данните му за кръвното налягане и пулса с няколко отряза", отбелязва докладът, "като по този начин дава на хипохондриите още повече неща за притеснение." Всъщност докладът описва колко лесно изследователите успяха да превземат едно конкретно устройство.
Bluetooth Promiscuity
Всички тествани тракери използват Bluetooth за свързване с приложение за Android. При правилно внедряване Bluetooth сдвояването може да бъде доста сигурно. Sony Smartband Talk SWR30, Polar Loop и Withings Pulse Ox стават невидими за други устройства, веднъж сдвоени с вашия телефон. Garmin Vivosmart и Huawei TalkBand B1 изискват удостоверяване за сдвояване. Jawbone Up24 и LG Lifeband Touch FB84 продължават да изискват физически достъп до устройството за сдвояване.
Останалите два, Acer Liquid Leap и Fitbit Charge, изобщо не осигуряват връзката BlueTooth. По-специално Fitbit Charge ще се свързва с всяко Bluetooth устройство, което е в обхват, а данните в обикновения текст изобщо не са защитени. Продуктите на Jawbone и Huawei не са толкова широко отворени, но те ще се свързват с повече от едно устройство. Що се отнася до Acer Liquid Leap, изглежда, че той изисква удостоверяване с помощта на ПИН код, но кодът е статично извлечен от публичното име на устройството.
Осигуряване на приложението
Програмите за Android са различни от компилираните изпълними програми, които се изпълняват под Windows. Всеки може да декомпилира Android програма обратно към нейния изходен код, като използва лесно достъпни инструменти. Хакер може да използва този изходен код, за да определи точно как фитнес приложението комуникира със съответния си проследяващ инструмент и да напише фалшиво приложение, за да поеме тази комуникация.
Умните Android програмисти използват инструменти и техники, за да обсебят програмния код, което затруднява обратното инженерство. Те също изключват функциите за записване, които са полезни по време на създаване на програма, но дават вътрешни детайли на приложението. И разбира се, те съставят окончателната версия с изключено отстраняване на грешки.
Само два от тестваните продукти, Jawbone Up24 и Sony Smartband Talk SWR30, използваха и трите от тези техники. Huawei и Withings пуснаха кода за отстраняване на грешки с включена регистрация и приложиха само ограничена обфуксация. Acer и LG Lifeband не направиха опит за фолиране на обратната инженерия.
Изследователите на AV-Test лесно създадоха фалшиво приложение, което може да изсмуче данни от устройството на Acer. Те дори успяха да променят вътрешните записи на устройството, така че „тренировката за деня приключи само за няколко секунди, без да се счупи пот“.
Лоши новини, добри новини
Ако сте вкоренили телефона си, сте значително по-уязвими към всички видове хакерство, включително хакерство на фитнес тракер. Добрата новина е, че всички тествани устройства коректно съхраняват своите данни в защитена памет. Лошата новина е, че ако сте вкоренили телефона си, тази памет вече не е защитена.
Още добри новини - всички тествани приложения правилно защитиха данните си при транзит към облака. Те шифроваха данните и ги предадоха с помощта на
- Най-добрите фитнес тракери за 2019 г. Най-добрите фитнес проследячи за 2019 г.
- Челюст UP24 Челюст UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Победители и губещи
Пълният доклад описва подробно какво точно научиха изследователите и показва, че наличната сигурност в тази продуктова област варира значително. Удобна диаграма идентифицира 11 важни точки за сигурността на фитнес тракера. Отгоре Sony Smartband Talk SWR30 пропусна само един - не можете да деактивирате Bluetooth от тракера. Polar Loop пропусна същата точка и също така не направи всичко възможно срещу обратното инженерство, но това все още е доста добро.
В другия край на спектъра Acer Liquid Leap пропусна девет от 11-те точки. Той получи кредит за съхраняване на данни в защитена памет и частичен кредит за защита на вътрешната комуникация; това е всичко. Fitbit Charge пропусна осем защитни елемента, включително всички, свързани със защита на Bluetooth комуникациите.
Екипът на AV-Test официално уведоми всички доставчици за своите открития. Те планират допълнителни разследвания, след като продавачите имат време да засилят играта си за сигурност.
