Video: Обзор QW16 Smart Band - Как Подключить Фитнес Браслет к телефону? (Oktober 2024)
Når du treffer 10.000 skritt eller når et annet mål om fitness tracker, vil du dele prestasjonen med venner, ikke sant? Avhengig av hvilken enhet du bruker, kan det hende du deler din private informasjon med verden, eller med alle i nærheten. Forskere ved AV-Test Institute analyserte sikkerheten til ni populære treningssyklister, og noen av funnene deres var ikke pene.
Kort sagt, Fitbit Charge og Acer Liquid Leap sikrer ikke sine Bluetooth-tilkoblinger i det hele tatt. Det betyr at dataene dine blir utsatt for å bli sveipt. Jawbone Up24 og Sony Smartband Talk SWR30 gjorde den beste jobben med å beskytte brukerens data.
Selvfølgelig ble bare ett element i hvert enkelt selskap testet, men forsvarlighet tilsier at funnene gjelder overalt. Bare fordi du har en Fitbit Surge og ikke en Fitbit Charge, betyr ikke det at du er trygg.
Hvem bryr seg?
Men vent, kan du si, jeg bryr meg ikke om hvem som ser dataene mine; Jeg er stolt av kondisjonen min! Rapporten bemerker ganske mange grunner til at denne holdningen kan være naiv. Noen helseforsikringsselskaper tilbyr for eksempel lavere priser til kunder som beviser sin egnethet ved hjelp av en tracker. En samvittighetsløs bruker kan kapre en mer tilpasset naboens data for å få lavere pris, eller stjele dataene og holde dem for løsepenger.
Hvis enhetens data ikke er sikret, kan de godt endres utenfra. "Det vil ikke vare lang tid før barna skal spille pranks på den joggende yuppien ved å øke blodtrykket og pulsdataene hans med noen få hakk, " bemerker rapporten, "og dermed gir hypokonder enda flere ting å bekymre deg for." Rapporten beskriver faktisk hvor enkelt forskerne klarte å overta ett bestemt apparat.
Bluetooth Promiskuity
Alle testede trackere bruker Bluetooth for å koble til en Android-app. Når den er riktig implementert, kan Bluetooth-sammenkobling være ganske sikker. Sony Smartband Talk SWR30, Polar Loop og Withings Pulse Ox blir usynlig for andre enheter når de er koblet sammen med telefonen din. Garmin Vivosmart og Huawei TalkBand B1 krever godkjenning for sammenkobling. Jawbone Up24 og LG Lifeband Touch FB84 går lenger, og krever fysisk tilgang til enheten for sammenkobling.
De resterende to, Acer Liquid Leap og Fitbit Charge, sikrer ikke BlueTooth-tilkoblingen i det hele tatt. Spesielt Fitbit Charge vil pare seg med alle Bluetooth-enheter som er innen rekkevidde, og klartekstdataene er ikke beskyttet i det hele tatt. Jawbone- og Huawei-produktene er ikke så åpne, men de vil pare seg med mer enn én enhet. Når det gjelder Acer Liquid Leap, ser det ut til å kreve autentisering ved hjelp av en PIN-kode, men koden er statiske avledet fra enhetens offentlige navn.
Sikre appen
Android-programmer er forskjellige fra de kompilerte kjørbare programmene som kjører under Windows. Hvem som helst kan dekompilere et Android-program tilbake til kildekoden ved hjelp av lett tilgjengelige verktøy. En hacker kan bruke den kildekoden for å bestemme hvordan en treningsapp kommuniserer med den tilhørende trackeren, og skrive en forfalsket app for å overta den kommunikasjonen.
Smarte Android-programmerere bruker verktøy og teknikker for å tilsløre programkoden, noe som gjør omvendt prosjektering vanskelig. De slår også av loggfunksjoner som er nyttige under programopprettelsen, men som gir bort interne appdetaljer. Og selvfølgelig kompilerer de den endelige versjonen med feilsøking slått av.
Bare to av de testede produktene, Jawbone Up24 og Sony Smartband Talk SWR30, brukte alle disse tre teknikkene. Huawei og Withings ga ut debugkode med logging slått på, og brukte bare begrenset obfuskering. Acer og LG Lifeband gjorde ingen forsøk på å folie omvendt prosjektering.
AV-Tests forskere opprettet enkelt en falsk app som kunne suge data fra Acer-enheten. De klarte til og med å endre enhetens interne poster, slik at "dagens trening ble fullført på bare noen få sekunder, uten å brekke svette."
Dårlige nyheter, gode nyheter
Hvis du har forankret telefonen din, er du langt mer sårbar for alle slags hacking, inkludert fitness tracker-hacking. Den gode nyheten er at alle de testede enhetene lagrer dataene sine i beskyttet minne. Den dårlige nyheten er at hvis du har forankret telefonen din, er ikke minnet beskyttet lenger.
Flere gode nyheter - alle appene som ble testet, beskyttet dataene sine korrekt i transitt til skyen. De krypterte dataene, og overførte dem ved hjelp av
- The Best Fitness Trackers for 2019 De beste Fitness Trackers for 2019
- Jawbone UP24 Jawbone UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Vinnere og tapere
Den fullstendige rapporten går i detalj om nøyaktig hva forskerne lærte, og den viser at tilgjengelig sikkerhet i dette produktområdet varierer mye. Et praktisk diagram identifiserer 11 viktige punkter for sikkerhet tracker-sikkerhet. Øverst savnet Sony Smartband Talk SWR30 bare én - du kan ikke deaktivere Bluetooth fra trackeren. Polar Loop gikk glipp av det samme poenget, og gjorde heller ikke alt mulig mot revers-engineering, men det er fremdeles ganske bra.
I den andre enden av spekteret bommet Acer Liquid Leap ni av de 11 poengene. Det fikk æren for å ha data i beskyttet minne og delvis kreditt for å ivareta intern kommunikasjon; det er alt. Fitbit Charge gikk glipp av åtte sikkerhetselementer, inkludert alle disse relatert til å beskytte Bluetooth-kommunikasjon.
AV-Tests team varslet formelt alle leverandørene om funnene sine. De planlegger videre undersøkelser når leverandørene har hatt tid til å trappe opp sikkerhetsspillet.
