Video: Фитнес браслет Fitness Tracker 115 Plus с измерением пульса и давления (Oktober 2024)
Når du rammer 10.000 trin eller når et andet fitness-tracker-mål, vil du dele din præstation med venner, ikke? Afhængig af hvilken enhed du bruger, deler du muligvis også dine private oplysninger med verden eller med alle i nærheden. Forskere ved AV-Test Institute analyserede sikkerheden hos ni populære fitness-trackere, og nogle af deres fund var ikke smukke.
Kort sagt, Fitbit Charge og Acer Liquid Leap sikrer overhovedet ikke deres Bluetooth-forbindelser. Det betyder, at dine data kan blive svejet. Jawbone Up24 og Sony Smartband Talk SWR30 gjorde det bedste job med at beskytte brugernes data.
Naturligvis blev kun et emne i hvert selskabs produktlinje testet, men forsigtighed dikterer, under forudsætning af, at fundene gælder overalt. Bare fordi du har en Fitbit Surge og ikke en Fitbit Charge, betyder det ikke, at du er sikker.
Og hvad så?
Men vent, du siger måske, jeg er ligeglad med hvem der ser mine data; Jeg er stolt af min kondition! Rapporten bemærker en hel del grunde til, at denne holdning kan være naiv. For eksempel tilbyder nogle sundhedsforsikringsselskaber lavere priser til kunder, der beviser deres egnethed ved hjælp af en tracker. En skrupelløs bruger kunne kapre en mere passende naboens data for at få den lavere sats eller stjæle dataene og opbevare dem til løsepenge.
Hvis enhedens data ikke er sikret, kan de godt ændres udefra. "Det vil ikke vare længe, før børnene spiller præk på den joggende yuppie ved at øge hans blodtryk og pulsdata med et par hak, " bemærker rapporten, "og dermed giver hypokonder endnu flere ting at bekymre dig om." Rapporten angiver faktisk, hvor let det lykkedes forskerne at overtage en bestemt enhed.
Bluetooth-promiskuitet
Alle de testede trackere bruger Bluetooth til at oprette forbindelse til en Android-app. Når de er korrekt implementeret, kan Bluetooth-parring være ret sikker. Sony Smartband Talk SWR30, Polar Loop og Withings Pulse Ox bliver usynlige for andre enheder, når de er parret med din telefon. Garmin Vivosmart og Huawei TalkBand B1 kræver godkendelse til parring. Jawbone Up24 og LG Lifeband Touch FB84 går videre, hvilket kræver fysisk adgang til enheden til parring.
De resterende to, Acer Liquid Leap og Fitbit Charge, sikrer slet ikke BlueTooth-forbindelsen. Navnlig Fitbit Charge parres med enhver Bluetooth-enhed, der er inden for rækkevidde, og dataene i almindelig tekst er ikke beskyttet overhovedet. Produkterne fra Jawbone og Huawei er ikke så vidt åbne, men de parres med mere end en enhed. Hvad angår Acer Liquid Leap, ser det ud til at kræve godkendelse ved hjælp af en PIN-kode, men koden er statisk afledt fra enhedens offentlige navn.
Sikring af appen
Android-programmer er forskellige fra de kompilerede eksekverbare programmer, der kører under Windows. Alle kan dekompilere et Android-program tilbage til dets kildekode ved hjælp af let tilgængelige værktøjer. En hacker kunne bruge denne kildekode til at bestemme, hvordan en fitness-app kommunikerer med dens tilsvarende tracker og skrive en forfalsket app for at overtage denne kommunikation.
Smarte Android-programmører bruger værktøjer og teknikker til at tilsløre programkoden, hvilket gør reverse-engineering vanskelig. De slukker også for logfunktioner, der er nyttige under programoprettelsen, men som giver interne appoplysninger væk. Og selvfølgelig kompilerer de den endelige version med fejlfinding slået fra.
Kun to af de testede produkter, Jawbone Up24 og Sony Smartband Talk SWR30, brugte alle disse tre teknikker. Huawei og Withings frigav debugkode med logning tændt og anvendte kun begrænset tilsløring. Acer og LG Lifeband gjorde intet forsøg på at folie reverse engineering.
AV-Tests forskere oprettede let en falsk app, der kunne sutte data fra Acer-enheden. De formåede endda at ændre enhedens interne poster, så "dagens træning blev afsluttet på kun få sekunder uden at svække sved."
Dårlige nyheder, gode nyheder
Hvis du har rodfæstet din telefon, er du langt mere sårbar over for alle former for hacking, inklusive fitness tracker-hacking. Den gode nyhed er, at alle de testede enheder korrekt gemmer deres data i den beskyttede hukommelse. Den dårlige nyhed er, at hvis du har rodfæstet din telefon, er hukommelsen ikke længere beskyttet.
Flere gode nyheder - alle de testede apps beskyttede deres data korrekt i transit til skyen. De krypterede dataene og transmitterede dem ved hjælp af
- De bedste fitness trackere til 2019 De bedste fitness trackers for 2019
- Jawbone UP24 Jawbone UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Vindere og tabere
Den fulde rapport går i detaljer om nøjagtigt, hvad forskerne lærte, og den viser, at den tilgængelige sikkerhed inden for dette produktområde varierer meget. Et praktisk kort identificerer 11 vigtige punkter for fitness tracker-sikkerhed. Øverst savnede Sony Smartband Talk SWR30 bare én - du kan ikke deaktivere Bluetooth fra trackeren. Polar Loop gik glip af det samme punkt, og gjorde heller ikke alt, hvad der var muligt mod reverse-engineering, men det er stadig ret godt.
I den anden ende af spektret savnede Acer Liquid Leap ni af de 11 point. Det fik kredit for at opbevare data i den beskyttede hukommelse og delvis kredit for at beskytte intern kommunikation; det er alt. Fitbit Charge gik glip af otte sikkerhedselementer, inklusive alle dem, der vedrører beskyttelse af Bluetooth-kommunikation.
AV-Tests team underrettede formelt alle leverandører om deres fund. De planlægger yderligere undersøgelser, når leverandørerne har haft tid til at intensivere deres sikkerhedspil.
