WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Dữ liệu người dùng Fitbit có thể bị đánh cắp qua mặt đồng hồ
Thông qua một API xây dựng ứng dụng mở rộng, kẻ tấn công có thể truy cập vào dữ liệu người dùng Fitbit và gửi nó đến bất kỳ máy chủ nào.
Kev Breen, giám đốc của Immersive Labs, đã tạo ra một proof-of-concept cho tình huống này, sau khi nhận thấy các thiết bị Fitbit được tải lên kèm với dữ liệu cá nhân nhạy cảm.
“Về cơ bản, [API nhà phát triển] có thể gửi loại thiết bị, vị trí và thông tin người dùng bao gồm giới tính, tuổi, chiều cao, nhịp tim và cân nặng. Nó cũng có thể truy cập thông tin lịch. Mặc dù không bao gồm dữ liệu hồ sơ định danh cá nhân, lời mời trên lịch có thể hiển thị thông tin bổ sung như tên và vị trí”.
Vì tất cả thông tin này đều có sẵn thông qua API nhà phát triển ứng dụng Fitbit, việc tạo một ứng dụng để thực hiện cuộc tấn công là quá trình đơn giản. Breen đã có thể tạo ra một mặt đồng hồ độc hại rồi đưa lên Fitbit Gallery (nơi Fitbit trưng bày các ứng dụng nội bộ và bên thứ ba khác nhau). Do đó, phần mềm gián điệp có vẻ hợp pháp và tăng khả năng được tải xuống.
“Sử dụng dashboard được các nhóm phát triển dùng để xem trước các ứng dụng, tôi đã gửi lên phần mềm gián điệp của mình và sớm có được URL riêng tại https://gallery.fitbit.com/details/<redacted>. Phần mềm gián điệp của chúng tôi hiện đã có trên fitbit.com. Điều cần lưu ý là mặc dù Fitbit không tính đây là "có thể tải xuống công khai", liên kết vẫn có thể truy cập được trong miền công cộng và 'phần mềm độc hại' của chúng tôi vẫn có thể được tải xuống”.
Để tăng tính hợp pháp, khi liên kết được nhấp vào trên bất kỳ thiết bị di động nào, nó sẽ mở ra bên trong ứng dụng Fitbit với “tất cả hình thu nhỏ được hiển thị hoàn hảo như thể nó là một ứng dụng hợp pháp”.
Breen cũng phát hiện ra API tìm nạp của Fitbit cho phép sử dụng HTTP cho các dải IP nội bộ, và ông đã lợi dụng điều này để biến mặt đồng hồ độc hại thành một máy quét mạng.
“Với chức năng này, mặt đồng hồ của chúng tôi có thể trở thành mối đe dọa đối với doanh nghiệp. Nó có thể được sử dụng để làm mọi thứ, từ xác định và truy cập bộ định tuyến, tường lửa và các thiết bị khác, đến brute-force mật khẩu và đọc mạng nội bộ của công ty - tất cả đều từ bên trong ứng dụng trên điện thoại”.
Các bản sửa lỗi của Fitbit
Sau khi Breen liên hệ với Fitbit về các vấn đề này, Fitbit cho biết sẽ thực hiện những thay đổi cần thiết để giảm thiểu các vi phạm trong tương lai.
Fitbit đã thêm thông báo cảnh báo cho người dùng trong giao diện người dùng khi cài đặt ứng dụng từ một liên kết riêng tư và điều này giúp người tiêu dùng dễ dàng xác định ứng dụng/đồng hồ nào trên thiết bị di động không được liệt kê công khai.
“Chúng tôi khuyến khích người tiêu dùng chỉ cài đặt ứng dụng từ những nguồn mà họ biết và tin tưởng, đồng thời lưu ý đến dữ liệu họ đang chia sẻ với bên thứ ba. Chúng tôi cấp cho người dùng quyền kiểm soát đối với dữ liệu họ chia sẻ và với ai”.
Kev Breen, giám đốc của Immersive Labs, đã tạo ra một proof-of-concept cho tình huống này, sau khi nhận thấy các thiết bị Fitbit được tải lên kèm với dữ liệu cá nhân nhạy cảm.
“Về cơ bản, [API nhà phát triển] có thể gửi loại thiết bị, vị trí và thông tin người dùng bao gồm giới tính, tuổi, chiều cao, nhịp tim và cân nặng. Nó cũng có thể truy cập thông tin lịch. Mặc dù không bao gồm dữ liệu hồ sơ định danh cá nhân, lời mời trên lịch có thể hiển thị thông tin bổ sung như tên và vị trí”.
Vì tất cả thông tin này đều có sẵn thông qua API nhà phát triển ứng dụng Fitbit, việc tạo một ứng dụng để thực hiện cuộc tấn công là quá trình đơn giản. Breen đã có thể tạo ra một mặt đồng hồ độc hại rồi đưa lên Fitbit Gallery (nơi Fitbit trưng bày các ứng dụng nội bộ và bên thứ ba khác nhau). Do đó, phần mềm gián điệp có vẻ hợp pháp và tăng khả năng được tải xuống.
“Sử dụng dashboard được các nhóm phát triển dùng để xem trước các ứng dụng, tôi đã gửi lên phần mềm gián điệp của mình và sớm có được URL riêng tại https://gallery.fitbit.com/details/<redacted>. Phần mềm gián điệp của chúng tôi hiện đã có trên fitbit.com. Điều cần lưu ý là mặc dù Fitbit không tính đây là "có thể tải xuống công khai", liên kết vẫn có thể truy cập được trong miền công cộng và 'phần mềm độc hại' của chúng tôi vẫn có thể được tải xuống”.
Để tăng tính hợp pháp, khi liên kết được nhấp vào trên bất kỳ thiết bị di động nào, nó sẽ mở ra bên trong ứng dụng Fitbit với “tất cả hình thu nhỏ được hiển thị hoàn hảo như thể nó là một ứng dụng hợp pháp”.
Breen cũng phát hiện ra API tìm nạp của Fitbit cho phép sử dụng HTTP cho các dải IP nội bộ, và ông đã lợi dụng điều này để biến mặt đồng hồ độc hại thành một máy quét mạng.
“Với chức năng này, mặt đồng hồ của chúng tôi có thể trở thành mối đe dọa đối với doanh nghiệp. Nó có thể được sử dụng để làm mọi thứ, từ xác định và truy cập bộ định tuyến, tường lửa và các thiết bị khác, đến brute-force mật khẩu và đọc mạng nội bộ của công ty - tất cả đều từ bên trong ứng dụng trên điện thoại”.
Các bản sửa lỗi của Fitbit
Sau khi Breen liên hệ với Fitbit về các vấn đề này, Fitbit cho biết sẽ thực hiện những thay đổi cần thiết để giảm thiểu các vi phạm trong tương lai.
Fitbit đã thêm thông báo cảnh báo cho người dùng trong giao diện người dùng khi cài đặt ứng dụng từ một liên kết riêng tư và điều này giúp người tiêu dùng dễ dàng xác định ứng dụng/đồng hồ nào trên thiết bị di động không được liệt kê công khai.
“Chúng tôi khuyến khích người tiêu dùng chỉ cài đặt ứng dụng từ những nguồn mà họ biết và tin tưởng, đồng thời lưu ý đến dữ liệu họ đang chia sẻ với bên thứ ba. Chúng tôi cấp cho người dùng quyền kiểm soát đối với dữ liệu họ chia sẻ và với ai”.
Theo Threatpost
Chỉnh sửa lần cuối: