V súčasnosti sú veľmi populárne najrôznejšie fitnes náramky, ktoré pomáhajú pri monitorovaní fyzickej aktivity, merajú spálené kalórie pri cvičení a pomáhajú zlepšovať si kondíciu. Tieto zariadenia tiež spracúvajú rôzne údaje osobného charakteru, ktoré by mali ostať v bezpečí.
Bezpečnostný expert Roman Unuček skúmal, ako rôzne fitnes náramky komunikujú zo smartfónom a prišiel na zaujímavé zistenia. Výsledky výskumu ukazujú, že metóda autentifikácie implementovaná v mnohých predávaných náramkoch umožňuje tretím stranám nenápadne sa pripojiť do zariadenia, spúšťať na ňom príkazy a v niektorých prípadoch aj stiahnuť osobné dáta zo zariadenia.
Momentálne sú v náramkoch uložené prevažne len informácie o množstve nachodených krokov a spánkových cyklov, ale s nastupujúcou generáciou nositeľných zariadení vzrastie aj riziko straty ďalších citlivých informácií napr. o zdravotnom stave používateľa. Množstvo fitnes náramkov pritom ani nemá informačný displej, čo útok ešte viac uľahčuje. Na komunikáciu so smartfónom využíva väčšina fitnes náramkov technológiu Bluetooth LE známu aj ako Smart Bluetooth.
To však znamená, že tieto zariadenia sa nepripájajú cez štandardne zabezpečenú Bluetooth technológiu a na spárovanie nevyžadujú heslo a to hlavne z dôvodu, že nemajú klávesnicu, či dotykový displej na zadanie kódu. Ak potom náramok zavibrovaním požiada o spárovanie, používateľ nemá šancu vedieť, či stlačením tlačidla potvrdzuje spojenie so svojím zariadením, alebo so zariadením útočníka.
Unuček bol pri svojom testovaní schopný sa takto na verejných priestranstvách v priebehu krátkeho času pripojiť k desiatkam fitnes náramkov. Viac podrobností o výskume Romana Unučeka sa dočítate v jeho blogu „Ako som hackol svoj smart náramok“.
Zdroj: TS