Галерея Fitbit может использоваться для распространения вредоносного ПО

Директор по исследованиям компании Immersive Labs Кевин Брин (Kevin Breen) обнаружил , что на легитимный домен Fitbit можно загружать вредоносные приложения для носимых устройств Fitbit, которые затем можно распространять через ссылки.

По словам Брина, с помощью техник социальной инженерии злоумышленники могут заставить жертву загрузить и установить вредоносное приложение, позволяющее похищать данные о ее здоровье, собранные датчиками устройств Fitbit и смартфонов. Исследователю удалось загрузить в Fitbit Gallery вредоносное приложение, специально созданное с целью проверить, сможет ли оно обойти механизмы защиты магазина приложений.

Стремясь узнать, можно ли использовать этот вектор для атак на корпоративные среды, Брин добавил в приложение код для похищения данных устройств и персональных данных о здоровье, а также для установки соединения с подключениями компании с целью дальнейших злонамеренных действий. Исследователь предположил, что, поскольку приложение доставляется с легитимного домена Fitbit, оно должно обойти механизмы защиты от несанкционированных или подозрительных установок, и оказался прав.

Вредоносное приложение может похищать такие данные, как тип и местоположение устройства, пол, возраст, рост, вес и пульс пользователя, а также календарь. Хотя персонально идентифицируемую информацию таким образом получить нельзя, приглашения календаря могут выдать дополнительные сведения о пользователе. По словам Брина, SDK Fitbit также раскрывает API.

«Поскольку полученный API-интерфейс позволяет использовать HTTP для внутренних диапазонов IP-адресов, мне также удалось превратить вредоносный циферблат в примитивный сетевой сканер, способный сканировать и получать доступ к внутренним сетевым объектам и службам», - сообщил Брин.

Для этого нужно было только настроить сервер для сканирования IP-адресов и иметь приложение, способное подключаться и выполнять код. Таким образом устройство Fitbit превращается в гаджет для создания схем топологии корпоративной сети и взаимодействия с доступными устройствами (маршрутизаторами, межсетевыми экранами).

Брин уведомил Fitbit о проблеме, и компания пообещала ее исправить. Как отметили в компании, в отличие от частных приложений в ее галерее, которые не были внесены официально, общедоступные приложения проверяются вручную, чтобы убедиться в отсутствии вредоносного поведения.