10 secondes suffiraient à transformer les traqueurs de Fitbit en virus
Par Arthur de la Brosse - Publié le
Les traqueurs d'activité de Fitbit pourraient être piratés en 10 secondes afin de les transformer en bombe à retardement, capable d'infecter tous les ordinateurs auxquels ils seront connectés, rapporte cette semaine The Register.
La faille, dont Fitbit aurait été informé au mois de mars dernier, pourrait ainsi permettre à un pirate d'injecter un malware dans les traqueurs du constructeur, en utilisant la connexion bluetooth non sécurisée de l'appareil.
Axelle Apvrille, qui a promis une démonstration complète du hack dès demain pendant la conférence Hack.lu, explique qu'une fois le bracelet infecté, la synchronisation des données vers un ordinateur est automatiquement accompagnée de code malveillant. De plus, l'infection persisterait -au moins en partie- même après une réinitialisation complète du bracelet
L'opération pourrait ainsi permettre d'installer un cheval de troie sur un ordinateur en toute discrétion, de faire planter une machine ou encore de propager l'infection à d'autres appareils Fitbit. L'attaque ne nécessiterait en outre aucun accès physique direct aux traqueurs, il suffirait en effet de se trouver à quelques mètres -correspondant à la portée du bluetooth- du bracelet pour lui transmettre le malware.
Enfin, la spécialiste des malwares explique que d'autres failles sont présentes dans le système du constructeur, et peuvent notamment être exploitées pour modifier ses statistiques d'activité afin de débloquer des badges, lesquels peuvent ensuite être convertis en lots et en bons de réduction.
Source
La faille, dont Fitbit aurait été informé au mois de mars dernier, pourrait ainsi permettre à un pirate d'injecter un malware dans les traqueurs du constructeur, en utilisant la connexion bluetooth non sécurisée de l'appareil.
Axelle Apvrille, qui a promis une démonstration complète du hack dès demain pendant la conférence Hack.lu, explique qu'une fois le bracelet infecté, la synchronisation des données vers un ordinateur est automatiquement accompagnée de code malveillant. De plus, l'infection persisterait -au moins en partie- même après une réinitialisation complète du bracelet
L'opération pourrait ainsi permettre d'installer un cheval de troie sur un ordinateur en toute discrétion, de faire planter une machine ou encore de propager l'infection à d'autres appareils Fitbit. L'attaque ne nécessiterait en outre aucun accès physique direct aux traqueurs, il suffirait en effet de se trouver à quelques mètres -correspondant à la portée du bluetooth- du bracelet pour lui transmettre le malware.
Enfin, la spécialiste des malwares explique que d'autres failles sont présentes dans le système du constructeur, et peuvent notamment être exploitées pour modifier ses statistiques d'activité afin de débloquer des badges, lesquels peuvent ensuite être convertis en lots et en bons de réduction.
Source
