Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers publiceren tools om Fitbit-firmware zelf aan te passen

CCC-hackers hebben op het Chaos Computer-congres tools vrijgegeven die het mogelijk maken om de firmware van bepaalde Fitbit-apparaten aan te passen. Zo is het bijvoorbeeld mogelijk om stappen honderdvoudig te laten tellen, mocht je snel klaar willen zijn.

De tools bestaan uit een Android-app en een editor voor de firmware op basis van Nexmon. Het is de bedoeling dat gebruikers met de app een symmetrische encryptiesleutel achterhalen en toegang krijgen tot de firmware-binaries. Deze zijn vervolgens in de editor aan te passen, waarna de app weer gebruikt kan worden om de Fitbit-tracker te flashen met de opnieuw versleutelde firmware. Deze methode werkt met de Go- en Flex-apparaten zolang deze niet voorzien zijn van de beveiligingspatch die in oktober uitgekomen is, respectievelijk versies hoger dan 5.60 en 7.81.

De tools zijn het resultaat van reverse engineering door de ontwikkelaars en door toepassing van ander, bestaand onderzoek naar Fitbit-trackers. De makers kwamen er bijvoorbeeld achter dat de apparaten een zogenaamde live mode ondersteunen die gegevens als hartslag direct naar de bijbehorende app stuurt, zonder eerst via de Fitbit-servers te gaan. Deze modus is echter niet versleuteld, waardoor deze gegevens te onderscheppen zijn. Fitbit voerde in de laatste patch een wijziging door waardoor de modus desgewenst uit te schakelen is.

De reden voor het kiezen voor Fitbit was dat het een vrij grote partij is op de markt voor fitnesstrackers, zo bleek tijdens de presentatie. Daarnaast is het flashen van een eigen firmware een manier om gegevens in eigen beheer te nemen zonder dat deze eerst naar Fitbit worden gestuurd. Dus als je nog een apparaatje hebt rondslingeren met een oude firmwareversie dan is dit wellicht een interessant vakantieprojectje.

Door Sander van Voorst

Nieuwsredacteur

28-12-2017 • 09:39

40 Linkedin Google+

Reacties (40)

Wijzig sortering
“Zo is het bijvoorbeeld mogelijk om stappen honderdvoudig te laten tellen, mocht je snel klaar willen zijn.”

Klaar met wat? :S
Jij bent niet bekend met de werking van een FitBit?

Het gaat hier om de stappenteller. Je kan een doel instellen om b.v. 12000 stappen per dag te lopen. Dit houdt het apparaat dan netjes bij voor je.
Je kan met deze 'hack' er dus voor zorgen dat elke stap die je zet voor 100 telt. Snel klaar dus :+
Ja snap ik, maar dat heeft toch geen enkel nut 8)7
Inderdaad onzin, behalve als je aan een universiteit in Oklahoma studeert waar je verplicht een Activity tracker moet dragen.

https://www.wareable.com/...-university-oklahoma-2250

Er zijn inmiddels blijkbaar zorgverzekeraars die korting geven als je bepaalde doelen haalt met je tracker. Ook werkgevers zijn hier in geïnteresseerd.

Edit 1: spelfout

Edit 2: toevoeging zorgverzekeraars en werkgevers

[Reactie gewijzigd door E-Flex op 28 december 2017 10:32]

Fitbit even in een lege wasmachine steken kan daar misschien ook wel helpen :-)
Kijk, naar zo’n antwoord was ik dus op zoek met mijn vraag.

Interresant om te weten en simpel denkend, zou je toch verwachten dat er meer manieren zijn om hiermee te frauderen.

Mijn Xiaomi Miband 2 is bijvoorbeeld zelflerend. Ik kan mij dus voorstellen dat als je het maar lang genoeg probeert dat bijv, een wasmachine zoals iemand hier al noemt, voldoende is om hem om de tuin te leiden.
Hoewel ik het positief vind dat mensen worden gemotiveerd om meer te bewegen, gaat dit natuurlijk veel te ver. Ik ben net het boek 'The Circle' van Dave Eggers aan het lezen... hopelijk zien we allemaal op tijd in dat we het niet zover moeten laten komen.
Helemaal met je eens, belachelijk wat mensen willen delen.
Nee, geen enkel nut, maar wel leuk dat het kan.
Voor jezelf heeft het natuurlijk geen enkel voordeel, het is leuk dat je in een uur 12000 stappen zet, maar je wordt er niet fitter dan :+

Collega's hier hadden een groep waarin je een soort van "race" had elke dag, wie is het eerste bij de 10k stappen. Als je veel zit en toch wilt winnen is dit een leuke uitkomst.

Disclaimer: Ik ben niet verantwoordelijk voor collegiale ruzies :+
Handig voor als ik mijn zevenmijlslaarzen aanheb, dan blijft het een beetje accuraat :)
Nee, geen enkel nut, maar wel leuk dat het kan
ho ho, niet te snel :)
Er is nu aangetoond dat met de oudere versies fraude mogelijk is. Dan kunnen werkgevers/universiteiten/verzekeraars (zoals anderen al noemden als voorbeeld) bijvoorbeeld gaan eisen dat je minimaal versie x moet hebben, of een fitnesstracker van firma Y.

Daarnaast kan het fabrikanten op het spoor zetten om bepaalde verbeteringen aan te brengen in hun software en/of firmware.
Oke, voor de fabrikant is het interessant natuurlijk.

Maar welke werkgever gaat jou instrueren dat jij versie X hebt van jou fitnesstracker? Zelfs in de fitnessbusiness zie ik niet gebeuren dat je daarin verplicht wordt. Ik vraag me echt af in welke branche er door de werkgever geleverde fitnesstrackers worden gebruikt.
het is leuk dat je in een uur 12000 stappen zet, maar je wordt er niet fitter dan :+
Och, met 12000 stappen in een uur heb je reeds een heel aardig fitness level.
;)
Veel van de dingen die je als Geek doet hebben alleen maar nut ter lering en vermaak.

Als je firmware aan past maar je ziet er niets van is het slechts ten dele bevredigend. Wat is er nou leuker aan het 'hacken' van een stappenteller dan de hoofdfunctie, het stappentellen, aan te passen. Ook heel leuk om aan anderen te demonstreren dat het je echt is gelukt.
(Al zou ik een ander getal dan 100 stappen per stap kiezen, maar dat terzijde....)
Enige wat ik snel kan bedenken is dat iemand (een relatie partner of een ouder) je heeft opgelegd met dat ding je stappen te tellen én verwacht dat je bepaalde doelen haalt.
Dan haal je ze zo natuurlijk makkelijker.

Of je dat moet willen is een tweede ;)
grap (de; v(m); meervoud: grappen)
1 iets vermakelijks; aardigheid, geestigheid, kwinkslag: iets voor de grap zeggen

[Reactie gewijzigd door anandus op 28 december 2017 09:58]

Jezelf lekker voor de gek houden :P
De meeste mensen hebben een stepgoal ingesteld. Op deze manier behaal je dat sneller.. de vraag is alleen wat je er vervolgens aan hebt
Korting op je toekomstige verzekering? :)
Met het halen van je ingestelde doel gok ik ;-)
Ik neem aan met je dagelijkse doel van 10.000 stappen. Leuk, maar enige die je bedriegt is jezelf...

[Reactie gewijzigd door ThaStealth op 28 december 2017 09:58]

Je eigen stepgoal versnellen ziet denk ik niemand het nut van in, dat doe je toch voor jezelf 8)7
Waar ik wel het nut van in kan zien is het versturen van je data zonder dat het eerst naar de fitbit servers gaat, zo zou het eigelijk toch al moeten zijn.
Je eigen stepgoal versnellen ziet denk ik niemand het nut van in, dat doe je toch voor jezelf
Niert altijd, de eerste berichten dat werkgevers dit soort zooi aan hun werknemers geven zijn er al. En uiteraard hebben die dan toegang tot de gegevens, ze willen natuurlijk weten welke wrerknemers veel bewegen. Ik denk in de hoop dat die dan minder ziek zullen zijn of zo, of jyuist dat de rustiger werknemers kunnen invallen als de actievelingen met een gipsvlucht van de wintersport terugkomen.
Ik hoop dat dit Fitbit nu eens écht wakker schudt om hun firmware zo aan te passen dat niet al je gegevens eerst naar Fitbit-servers gaan voordat je ze in de Fitbit-app kunt bekijken. Ik heb serieus overwogen om een Charge 2 te kopen, maar door deze belachelijke werking heb ik er vanaf gezien.
Waarom zou dit iets uitmaken? het gaat over apparaten waarbij de software zwaar achter loopt.
En hoe had je dat anders willen hebben dan? De Fitbit App is maar 1 van de plekken waar je je data kunt inzien. Je kan dat ook online of in een Windows 10 aplicatie. Maar dan moet die data wel ergens staan,
Weet je hoe de Apple Watch werkt? Die stuurt gegevens via Bluetooth door naar je iPhone, waar die gegevens worden opgeslagen. Daar wordt het niet eerst naar de cloud gestuurd.
Onhandig, iPhone kapot en je bent je data kwijt.
*kuch* iCloud backup?
Wat is dan het voordeel over het Fitbit systeem? Komt op hetzelfde neer.
Geen idee. Ik heb geen Fitbit. Maar je geeft aan "iPhone kapot en je bent je data kwijt". Daar heb je je iCloud back-up voor.

Handig, iPhone kapot, nieuwe halen, back-up terug, doordraaien.
Oke, off topic dus, prima.
Synchroniseert je iPhone continu met icloud? 100% van de tijd?
Ja, je ging al een beetje off topic met je opmerking iphone stuk/data weg.
Geen idee hoe vaak. Nog niet mee gemaakt dat watch/phone dood waren. Dus misschien praat ik wel onzin. If so, excuus.
Fijn weekend!
Xiaomi Mi Band 2 ist volgens mij de grootste speler op de markt nu? Kan het fout hebben natuurlijk.

Maar aangezien dat van een Chinese Firm is beter om dat te testen??
Op welke markt precies? Het is bij Chinashoppers en gadgetfreaks populair, maar het apparaat voegt vrij weinig toe in vergelijking tot serieuzere Sporthorloges.

Niet dat Fitbit daarin uitblinkt, maar dat is toch wel iets serieuzer spul voor een andere gebruikersgroep.
Heb verkeerd gelezen het behoort namelijk in de top 3. Achter de nummer 1 (Fitbit)

Was in 2016 nog
http://u01.appmifile.com/...e97-8f6f-c87c2af90414.jpg
Voor een onbekende merk nog steeds een goede prestige behaald.

Dan heb je gelijk

[Reactie gewijzigd door theduke1989 op 28 december 2017 10:39]

Ik heb zelf een fitbit charge 2 en een xiaomi mi band 2 gehad, en ik kan je vertellen dat er niet bepaald iets serieuzer is aan de fitbit. Stappentellen en hartslagmeten is bij beide apparaten matig tot goed. De één is niet beter dan de ander.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True