Fitbit Charge HR  - 3

Fitbit a rischio hack: “bastano 10 secondi per infettarli da Bluetooth” (aggiornato)

Cosimo Alfredo Pina -

Stando alla ricerca di Fortinet, azienda specializzata in sicurezza informatica, gli indossabili di Fitbit avrebbero una falla di sicurezza piuttosto grave. Chiunque si trovi a portata di Bluetooth del dispositivo potrebbe “entrare” nel wearable.

Non solo, una volta preso controllo del Fitbit il potenziale hacker potrebbe inserire codice malevolo capace di infettare qualsiasi PC vi si sincronizzi. Fitibit sarebbe stata avvertita di questo bug già a marzo, ma ad oggi non è ancora stato rilasciato un fix.

La falla, ed eventuale codice malevolo installato, rimarrebbero anche dopo un reset “Un utente malintenzionato invia un pacchetto all’activity tracker quando è a portata di Bluetooth, poi il resto dell’attacco avviene in maniera automatica, senza che l’hacker debba rimanere nelle vicinanze”.

Apvrille, ricercatrice per Fortinet che ha scoperto il problema, ha spiegato che Fitbit cripta effettivamente i dati scambiati dagli indossabili, ma il modulo Bluetooth sarebbe totalmente esposto, permettendo l’attacco in questione.

Al momento Fitbit non avrebbe rilasciato dettagli sulla falla o su eventuali aggiornamenti che la risolvano. Fortunatamente Apvrille non ha pubblicato come è riuscito a scovare il bug e la speranza è che l’azienda produttrice rilasci un fix prima che qualcuno riesca ad approfittarsene.

Aggiornamento 24/10/2015: Fitbit ci tiene a rassicurare che la falla non è pericolosa e all’atto pratico non sfruttabile per distribuire malware tramite gli indossabili. A confermare questo anche Axelle Apvrille di Fortinet che starebbe comunque collaborando con l’azienda per migliorare la sicurezza dei dispositivi. Di seguito riportiamo il comunicato ufficiale di Fitibit che fa chiarezza sulla questione.

Mercoledì 21 ottobre 2015 alcuni media hanno riportato le preoccupazioni di Fortinet, vendor dell’ambito sicurezza, sulla possibilità che i dispositivi Fitbit possano distribuire malware. Questi timori sono infondati. Infatti Axelle Apvrille, la ricercatrice di Fortinet che ha originariamente sollevato questa preoccupazione, ha comunicato a Fitbit che si tratta solamente di un ipotetico scenario che non può accadere praticamente. I prodotti Fitbit non possono essere utilizzati per infettare i dispositivi degli utenti con questo malware. Vogliamo rassicurare i nostri utenti che usare i dispositivi Fitbit è assolutamente sicuro e non è richiesta quindi nessuna azione.
Questo lo scenario della vicenda: Fortinet prima ci ha contattato a marzo per segnalare un problema di bassa gravità legata a un software maligno. Da allora abbiamo mantenuto un canale aperto di comunicazione con Fortinet. Non abbiamo visto alcun dato che indichi che sia possibile usare un tracker per distribuire malware.
Da molto tempo lavoriamo a stretto contatto con la community di ricerca sulla sicurezza e accogliamo con grande attenzione i loro pensieri e commenti. La fiducia dei nostri clienti è fondamentale. Progettiamo con attenzione la sicurezza per i nuovi prodotti, monitoriamo le nuove minacce e rispondiamo rapidamente ai problemi individuati. Incoraggiamo le persone a comunicare eventuali problemi di sicurezza con i prodotti o servizi online Fitbit tramite l’account mail security@fitbit.com. Maggiori informazioni sulla segnalazione problemi di sicurezza si possono trovare online all’indirizzo https://www.fitbit.com/security/

Via: Engadget