Fitnesstracker kan via Bluetooth in 10 seconden worden geïnfecteerd met malware

Aanvallers kunnen de fitnesstrackers van Fitbit eenvoudig besmetten met malware. De aanval kan in enkele seconden en op afstand worden uitgevoerd. Gebruikers hebben geen mogelijkheid zich tegen aanvallen te verdedigen.

Dit meldt Axelle Apvrille, beveiligingsonderzoeker van Fortinet, tegenover The Register. Fitbit zou al in maart door Apvrille van de kwetsbaarheid op de hoogte zijn gesteld, maar geen maatregelen hebben genomen om het probleem op te lossen. De onderzoeker maakt het probleem nu openbaar.

Geen fysieke toegang nodig

De fitnesstrackers kunnen via Bluetooth worden verbonden met andere apparaten. Aanvallers kunnen deze verbinding misbruiken, waardoor zij geen fysieke toegang hoeven te hebben tot het apparaat. De aanvaller hoeft uitsluitend binnen enkele meters van zijn doelwit te zijn om de aanval te kunnen uitvoeren. Ook als het apparaat is gekoppeld met een ander apparaat kunnen hackers de Bluetooth verbinding misbruiken.

Zodra een aanvaller verbinding heeft gelegd met de Fitbit kan malware in tien seconden worden geïnstalleerd op het apparaat. Binnen een minuut kan daarnaast worden gecontroleerd of de aanval succesvol is geweest, een stap die overigens niet noodzakelijk is. Eenmaal geïnfecteerd kunnen gebruikers de malware nauwelijks van hun fitnesstracker verwijderen, aangezien zij weinig wijzigingen kunnen aanbrengen in het apparaat en de malware aanwezig blijft als de Fitbit opnieuw wordt opgestart. Geïnfecteerde Fitbit's kunnen de malware verspreiden naar andere apparaten waarmee de gebruiker de fitnesstracker verbinden, zoals laptops.

Proof of concept

De aanval zou op dit moment nog niet daadwerkelijk worden misbruikt door aanvallers. Apvrille heeft een proof of concept ontwikkeld waarmee de onderzoeker het gevaar van de kwetsbaarheid wil aantonen. Fitbit zegt in een reactie tegenover The Register dat Fortinet in maart een kwetsbaarheid heeft gemeld dit niet gerelateerd is aan malafide software. Sindsdien zou het bedrijf open hebben gestaan voor communicatie met Fortinet. Fitbit stelt geen aanwijzigingen te zien dat het momenteel mogelijk is de tracker te misbruiken om malware te distribueren naar andere apparaten zoals laptops. Apvrille denkt hier dus anders over.