AV-TEST: фітнес-браслети розголошують дані

  1. Кому можуть знадобитися ці дані?
  2. Тестування 9 фітнес-браслетів
  3. Bluetooth-сполучення працює дуже безпечно
  4. Чи передаються дані в читається форматі?
  5. Наскільки безпечні додатки для фітнес-трекерів?
  6. Виявлення інформації з журналів
  7. Контроль фітнес-трекера за допомогою самописного додатки
  8. Смартфони з root-доступом подвоюють небезпека
  9. Безпечне підключення до хмарного сервісу
  10. Висновок: багато браслети цілком безпечні

Фітнес-браслети зберігають і передають дані безпосередньо в смартфон, зазвичай без проміжної відправки в хмарні сервіси. Чи є цей спосіб безпечним?

Чи можливо, щоб оточуючі бачили, контролювали або навіть використовували ці дані. AV-Test розглянув 9 фітнес-браслетів і настійно рекомендує кільком виробникам оновити політику безпеки.

Було протестовано 9 фітнес-браслетів
Було протестовано 9 фітнес-браслетів

Нові фітнес-браслети не тільки виглядають стильно, але і відповідають сучасним трендам: фітнес зараз дуже популярний і вся активність записується і аналізується в додатках. Це означає, що користувач може негайно побачити, до чого призводять його старання. У відповідальних користувачів зазвичай з'являються ряд питань. Чи безпечна передача даних від фітнес-браслета смартфону? Можливо, чи сторонній підключитися до пристрою, скопіювати або навіть змінювати фітнес-дані? Ці питання були розглянуті німецькою лабораторією AV-Test. Організація провела випробування 9 фітнес-браслетів, також звані трекера спільно з соотвествующих додатками Android. Моніторинг роботи пристроїв проводився в режимі реального часу, перевірялася безпеку ралічних операцій, зокрема потенційно вразливі місця перехоплення даних. У тестах методи повного перебору (брут-форсу) були розгорнуті. Дослідники прослуховували канал комунікації і оцінили результати. Додатки були оцінені з точки зору безпеки та управління даними. Для деяких продуктів поточний підхід до безпеки привів до однозначного висновку експертів: продукт не безпечний для використання.

Кому можуть знадобитися ці дані?

Тестова конфігурація: все фітнес-браслети були пов'язані зі смартфонами за допомогою звичайного з'єднання Bluetooth
Тестова конфігурація: все фітнес-браслети були пов'язані зі смартфонами за допомогою звичайного з'єднання Bluetooth. У додаванні до додатка від розробника, браслети були протестовані з самопісний додатком для збору даних.

Навіть якщо дані фітнес-трекерів не прив'язані до особистих даних, таким як ім'я користувача і адресу, вони все одно представляють інтерес для деякої аудиторії. У США, наприклад, користувачі, які демонструють хороші показники при використанні трекера, мають право на зниження ставки персональної медичної страховки. Що може утримати користувача від використання даних свого більш рухомого сусіда такого ж віку? Ті, хто знайомі з вартістю медичної страховки, розуміють великий кримінальний потенціал в даній сфері. Якщо трекери можуть управлятися, не пройде багато часу, як діти будуть розігрувати Пранк над своїм однолітком, збільшуючи артеріальний тиск і пульс на кілька пунктів, викликаючи у іпохондриках серйозні занепокоєння. Поточний тест показує: потенційних точок атаки більше, ніж достатньо.

Тестування 9 фітнес-браслетів

Перевірка безпеки: Тільки кілька фітнес-браслетів продемонстрували низький ризик безпеки
Перевірка безпеки: Тільки кілька фітнес-браслетів продемонстрували низький ризик безпеки.

Всі тестовані продукти були придбані на вільному ринку. Ось чому тест включає тільки ті фітнес-браслети, які можна придбати в Німеччині. Таким чином, Microsoft Band, наприклад, не увійшов до програми тестування. Більш того, ще одним обмеженням вибору було підтримка з'єднання тільки з певними смартфонами, як наприклад, у випадку з трекером Samsung. Всі продукти працюють за допомогою додатка зв'язку на смартфоні Android. Наступні фітнес-трекери були зібрані в лабораторії для тестування як група:

  • Acer Liquid Leap
  • FitBit Charge
  • Garmin Vivosmart
  • Huawei TalkBand B1
  • Jawbone Up24
  • LG Lifeband Touch FB84
  • Polar Loop
  • Sony Smartband Talk SWR30
  • Withings Pulse Ox

При тестуванні під особливим наглядом опинився Acer Liquid Leap. Компанія Acer придбала даний продукт і зробила ребрендинг. Абсолютно ідентичні продукти поставляються компаніями Striiv (Touch), Tofasco (3 Plus Swipe) і Walgreens (Activity Tracker). Неясно, міняв чи кожен з вендорів мобільний додаток і прошивку пристрою. У початковій фазі випробування відповідні додатки для збору фітнес-даних були встановлені на тестові смартфони. Згодом, для того, щоб продовжити процес тестування фітнес-браслети були пов'язані з мобільними пристроями Android за допомогою з'єднання Bluetooth, як це передбачено в кожному з напрямків. Деякі пристрої для підключення запитували код сполучення.

Bluetooth-сполучення працює дуже безпечно

FitBit Charge У тестуванні фітнес-браслет приймав будь-який запит для сполучення через Bluetooth - навіть від сторонніх смартфонів
FitBit Charge У тестуванні фітнес-браслет приймав будь-який запит для сполучення через Bluetooth - навіть від сторонніх смартфонів.

Всі фітнес-браслети використовували сполуки Bluetooth. Поширені питання: чи залишаються пристрої видимими після встановлення з'єднання? Що необхідно для сполучення пристроїв? Активується чи Bluetooth тільки на короткий час при передачі даних, завершуючи роботу по закінченню цього процесу?

З'єднання Bluetooth може бути вручну деактивовано на пристроях Garmin Vivosmart і LG Lifeband Touch. Після створення пари трекери від Sony, Polar і Withings стають невидимими для пристроїв Bluetooth. Фітнес-браслет від Huawei відключає Bluetooth, якщо зв'язок зі сматфонів була втрачена протягом тривалого проміжку часу. Фітнес-трекер Jawbone також невидимий для інших пристроїв після створення пари, але при втрати з'єднання залишається видимим протягом декількох годин.

На всіх інших фітнес-браслетах Bluetooth залишається активним, а значить трекер буде видимим для інших пристроїв Bluetooth, в тому числі для тих, які можуть застосовуватися зловмисниками. Для підключення фітнес-браслета і смартфона на деяких пристроях потрібно натиснути кнопку "ОК". Sony Smartband Talk SWR30 автоматично підключається через NFC, але тільки з відомими довіреними пристроями. Решта носяться гаджети запитують введення PIN коду. На одному з тестованих пристроїв запитуваний PIN був легко вразливий для досвідчених хакерів. Виробник був проінформований, але до звіту дана інформація не потрапила.

Чи передаються дані в читається форматі?

Наступною фазою тестування була перевірка комунікації через Bluetooth. Дослідники AV-Test з'ясовували, чи передає фітнес-браслет дані тільки верифікувати з додатком або вони є загальнодоступними і для інших додатків. Крім того, додатковий аналіз виявляв, чи можуть дані бути прочитані в тому форматі, в якому вони передаються.

Фітнес-трекер FitBit Charge дуже здивував інженерів лабораторії: будь-який смартфон з Bluetooth міг підключитися до пристрою. Для підключення не була потрібна аутентифікація за допомогою PIN або будь-якими іншими методами - браслет просто підключається і добровільно передає всі свої дані. Дані відправляються на смартфон в незахищеному і зашифрованому вигляді. Додаток FitBit в даний час встановлюється на всі нові пристрої HTC серій M8 і M9. Згідно з непідтвердженими джерелами, тільки One M8 було продано від 500 000 до 1 000 000 примірників. Продукти від Jawbone і Huawei дозволяють ділитися записаними даними. Поточні фітнес дані автоматично передаються на будь-який парний пристрій, що має відповідну програму. Withings Pulse Ox виявився трохи дивним: пристрій передає дані тільки на поєднане в даний момент пристрій. Якщо вибрати смартфон, який сполучався раніше, браслет перезавантажується і стирає всі збережені дані.

Наскільки безпечні додатки для фітнес-трекерів?

Sony SmartBand Talk: даний фітнес-браслет і додаток працювали нормально, продемонструвавши низький рівень безпеки під час тестування
Sony SmartBand Talk: даний фітнес-браслет і додаток працювали нормально, продемонструвавши низький рівень безпеки під час тестування.

Якщо дані, що передаються між браслетом і смартфоном дані не можуть бути зламані, наступний ризик безпеки представляє додаток для смартфона. Ігрове додаток, наприклад, може опитувати будь-які підключені пристрої для аналізу даних. Якщо трекер використовує аутентифікацію, запит залишиться без відповіді.

Наступну вразливість представляє сам додаток. Кіберзлочинці можуть спочатку вивчити вихідний код. Якщо додаток було безпечно з урахуванням сучасних стандартів безпеки, код буде приховано за допомогою відповідних інструментів. Тільки в цьому випадку зворотне програмування додатки стане скрутним. Закінчила додаток не повинно поширювати так звані "логи" і інформацію налагодження, тому що ці дані дозволяють легко зрозуміти принцип роботи продукту.

Виявлення інформації з журналів

Дослідники оцінювали всі вищезгадані об'єкти в додатку. Тільки 5 з 9 фітнес-додатків ефективно приховали свій код. З 4 залишилися програм, варто відзначити, що 3 додатка (Acer, Garmin and LG) приховували своє з'єднання за допомогою пропрієтарного протоколу, що поставляється в бібліотеках додатки. Дана міра дозволить захиститися від спроб аналізу коду зловмисниками. Тільки додатки від Polar і Sony використовували обидві технології захисту.

Проте, додатки від LG і Polar вели журнали роботи. Ця інформація може полегшити декомпіляцію коду і злом програми. Список роблять навіть попередньо приховані дані видимими і представляють серйозний ризик безпеки.

Контроль фітнес-трекера за допомогою самописного додатки

У невеликому експерименті дослідники лабораторії просто вставили частину фірмового додатка для браслета Acer в власне самопісний додаток і потім запросили інформацію з пристрою. Трекер легко передав всі дані, як якщо б він був підключений до рідного додатком. Експерти змогли змінити деякі дані і відправити назад в браслет. В результаті, денна норма активності була завершена за кілька секунд, і все це без краплі поту.

Більш того, представники лабораторії змогли вплинути на інші функції браслета, а саме: зміна часу будильника і навіть видалення користувача аккаунта. При спробі видалення користувача браслет Acer перезавантажився і видалив всі збережені дані. Acer просто придбав даний браслет і провів ребрендинг під своєю маркою. Ідентичні пристрої продаються компаніями Striiv, Tofasco і Walgreens. У разі, якщо ці постачальники не розробили модифіковані програми та іншу прошивку, всі ці гаджети представляють серйозний ризик безпеки також, як і Acer Liquid Leap.

Смартфони з root-доступом подвоюють небезпека

Деякі користувачі зламують свої смартфони і отримують root-доступ до них. Таким чином, користувачам стає доступний захищений високий рівень ОС Android. Користувачі рутірованних пристроїв мають більше можливості управління системою Android, але за це вони платять занадто високу ціну - підвищений ризик безпеки. Справа в тому, що багато програм записують важливі персональні дані в захищену пам'ять, до якої інші програми не можуть отримати доступ. Отримання рута знімає ці обмеження. Багато фітнес-додатки записують важливі дані зрозумілим читаним мовою в захищену пам'ять. В окремому випробуванні смартфон був рутірован і аналізувалися дані, до яких був отриманий доступ. У тесті деякі додатки зберігали транзакційні ключі, ідентифікаційні номери доступу і навіть паролі. Таким чином, отримання рута готує програми для зламу, вилучення та злочинного використання персональних даних.

Безпечне підключення до хмарного сервісу

При передачі даних через Інтернет додатки фітнес-трекерів слідують сучасним стандартам безпеки. Таким чином, додатки використовують захищений протокол HTTPS і інші безпечні канали зв'язку, а самі дані передаються в зашифрованому вигляді. В даному тесті лабораторія не змогла з'ясувати, чи є безпечними портали і точки прийому інформації на хмарних платформах.

Висновок: багато браслети цілком безпечні

Незважаючи на деякі області потенційного поліпшення, Sony Smartband Talk SWR30 і Polar Loop пропонують найбільш надійні моделі безпеки. Інші фітнес-трекери був оцінені більш низьким рейтингом, а значить, мають більш високий ступінь ризику. Продуктом з найвищою ймовірністю успішної атаки є Acer Liquid Leap.

Ви можете вивчити детальний звіт від AV-Test, що включає індивідуальні показники кожного фітнес-браслета за допомогою файлу PDF: Оцінка безпеки 9 фітнес-трекерів .

Коментар експерта:

Майк Моргенштерн, технічний директор AV-Test GmbH: "Фітнес-браслети представляють ризик безпеки".

Звичайно, непогано, коли компактні фітнес-браслети мотивують людей по всьому світу стає здоровіше і більше займатися спортом. Потужні рекламні компанії підтримують тенденцію і надихають купувати інноваційні пристрої. На жаль, в цих гаджетах виробники роблять все ті ж помилки, що і з пристроями "Інтернету речей": безпеки тут приділяється не сама ведуча роль. Загальноприйняті підходи безпеки, як наприклад аутентифікація і шифрування реалізовані слабо або взагалі не впроваджені. Фітнес-браслети відіграють важливу роль при оцінці медичних страховок, а значить потрібно оновлювати і покращувати політику безпеки. Оцінка ризику від нашою лабораторією показала, що жоден з продуктів не зміг досягти максимального рівня безпеки. AV-Test направила виробникам докладний звіт про результати тестування. Через певний проміжок часу, фахівці лабораторії планують провести другий раунд тестування, який покаже, як виробники відреагували на отриману інформацію.

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter

Кому можуть знадобитися ці дані?
Наскільки безпечні додатки для фітнес-трекерів?
Чи є цей спосіб безпечним?
Чи безпечна передача даних від фітнес-браслета смартфону?
Можливо, чи сторонній підключитися до пристрою, скопіювати або навіть змінювати фітнес-дані?
Кому можуть знадобитися ці дані?
Що може утримати користувача від використання даних свого більш рухомого сусіда такого ж віку?
Поширені питання: чи залишаються пристрої видимими після встановлення з'єднання?
Що необхідно для сполучення пристроїв?
Активується чи Bluetooth тільки на короткий час при передачі даних, завершуючи роботу по закінченню цього процесу?