Als Ziel für den Angriff dient das Sportarmband Fitbit Flex. Entwickelt wurde der Exploit unter anderem von Axelle Apvrille vom Sicherheitsunternehmen Fortinet. Sie erklärt, dass der Angriff drahtlos möglich und in zehn Sekunden durchführbar ist, berichtet The Register.
Der Beschreibung zufolge soll es ausreichen, dass ein Angreifer sich innerhalb der Bluetooth-Reichweite des Wearables befindet. Sobald die Verbindung steht, kann der Schadcode als Anhängsel normaler Kommunikation flott übermittelt werden. Einmal am Gerät, nistet er sich persistent ein und bleibt auch bei einem Neustart des Trackers aktiv.
Am Armband selbst bewirkt die Malware allerdings noch nichts. Sobald aber das Opfer es mit einem Rechner verbindet, um zu synchronisieren, könnte der Schädling diesen allerdings infizieren – etwa um Informationen abzugreifen, das System zum Absturz zu bringen und andere Fitnesstracker zu befallen, die angeschlossen werden. Der entwickelte Exploit ist ein reiner Proof-of-Concept, der dies nicht tut und nur grundsätzlich die Verwundbarkeit darlegt.
Die Sicherheitslücken, die man nutzt, um den Fitbit Flex zu befallen, sind dem Hersteller laut Apvrille seit März bekannt, aber nach wie vor vorhanden. Fitbit selbst bestreitet, dass es möglich sei, mit dem Fitbit Flex andere Geräte zu infizieren und man von Fortinet lediglich über ein unkritisches Problem informiert worden sei.
Apvrille will den Exploit auf der derzeitigen Sicherheitskonferenz Hack.lu genauer erklären und vorführen.
Der Beschreibung zufolge soll es ausreichen, dass ein Angreifer sich innerhalb der Bluetooth-Reichweite des Wearables befindet. Sobald die Verbindung steht, kann der Schadcode als Anhängsel normaler Kommunikation flott übermittelt werden. Einmal am Gerät, nistet er sich persistent ein und bleibt auch bei einem Neustart des Trackers aktiv.
Am Armband selbst bewirkt die Malware allerdings noch nichts. Sobald aber das Opfer es mit einem Rechner verbindet, um zu synchronisieren, könnte der Schädling diesen allerdings infizieren – etwa um Informationen abzugreifen, das System zum Absturz zu bringen und andere Fitnesstracker zu befallen, die angeschlossen werden. Der entwickelte Exploit ist ein reiner Proof-of-Concept, der dies nicht tut und nur grundsätzlich die Verwundbarkeit darlegt.
Die Sicherheitslücken, die man nutzt, um den Fitbit Flex zu befallen, sind dem Hersteller laut Apvrille seit März bekannt, aber nach wie vor vorhanden. Fitbit selbst bestreitet, dass es möglich sei, mit dem Fitbit Flex andere Geräte zu infizieren und man von Fortinet lediglich über ein unkritisches Problem informiert worden sei.
Apvrille will den Exploit auf der derzeitigen Sicherheitskonferenz Hack.lu genauer erklären und vorführen.
