Una pulsera FitBit con monitor cardíaco

Una vunlerabilidad en las pulseras de actividad FitBit se reportó al fabricante el pasado mes de marzo, y todavía podría ser explotada por la persona que se sienta a tu lado en el parque mientras recuperas el aliento. Lo cierto es que este tipo de wearables son vulnerables por sus puertos Bluetooth según se recoge en The Register. El ataque es muy rápido, y se puede extender a ordenadores a los que se conecte la FitBit infectada.

Este tipo de ataques por Bluetooth requieren que un atacante se encuentre a pocos metros de un dispositivo objetivo. El malware se puede entregar diez segundos después de que los dispositivos se conecten, haciendo que la proximidad, aunque sea fugaz, sea un problema. Las pruebas que se han conducido para comprobar el éxito del hack tardan hasta un minuto en conseguirse, aunque no es necesario para comprometer el dispositivo.

Según la fuente, el investigador de Fortinet Axelle Apvrille comentó que este procedimiento, conocido como full persistence, significa en este caso que no ipmorta si se reinicia la FitBit: cualquier ordenador que se conecte con ella se puede infectar con una puerta trasera, un troyano o cualquier malware que escoja el atacante.

El primer malware para wearables de fitness

Efectivamente, este es el primer malware que se ha conseguido entregar de forma viable en pulseras de actividad. Los vectores del ataque todavía siguen presentes, y como ya comentamos al principio del artículo Apvrille avisó a FitBit el pasado mes de marzo. La respuesta de la empresa fue considerarlo como un bug que se corregirá con el tiempo. No debemos olvidar que Apvrille es una investigadora de malware de bastante prestigio, y ya existe un vídeo de demostración de sus descubrimientos que puedes ver a continuación:

Axelle Apvrille tiene otros interesantes descubrimientos sobre este hack, como por ejemplo manipular el número de pasos dados en una FitBit y la distancia recorrida, que después se usan para ganar premios que ofrecen descuentos en productos de la marca. La investigadora ha usado ingeniería inversa para enviar 24 mensajes trucados a la pulsera y 20 al dongle Bluetooth de la misma. El trabajo ha sido muy arduo, ya que los dispositivos no ofrecen su código al público y no vienen con documentación del software interno.

Apvrille descubrió que la comunicación se realiza a través de XML y Bluetooth Low Energy mientras que el cifrado y el descifrado se realizan en el wearable y no en el dongle, que se considera “fuera de los límites de seguridad”. Las comunicaciones y los sets de datos se dividen en “megavolcados” que incluyen los pasos que se dan cada día e información de la actividad del usuario, y “microvolcados” que tienen que ver con “emparejar” el wearable con un teléfono on un PC, respuestas del servidor e identificadores de dispositivo.

El trabajo de la investigadora añade nueva información del software a bajo nivel en FitBit a un repositorio que habían comenzado otros compañeros suyos.

Con este hack también se puede falsear el número de pasos dadosCon este hack también se puede falsear el número de pasos dados / Timo Newton-Syms editada con licencia CC 2.0

No es el primer agujero de FitBit

En 2013 otro grupo de investigadores de seguridad pudieron acceder a cuentas de FitBit con un login falso gracias a comprobaciones de autenticación muy laxas, lo que permitía a los atacantes ganar premios. Sin embargo, fue mucho peor otro agujero de 2011, en el que se expusieron al público las actividades sexuales de los usuarios, en las que se revelaba si habían tenido una “actividad vigorosa” o por el contrario otra “pasiva y suave”.

Hay otros hacks bastante “tontos” que permiten que los más vagos puedan inducir a los sensores que se está realizando una actividad. En 2013 varios investigadores ataron pulseras FitBit a la rueda de un coche y condujeron a 16 kilómetros por hora para simular actividad física.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?