Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties
Submitter: Chocoball

De FitBit-fitnesstracker van het gelijknamige Amerikaanse bedrijf, is volgens een malware-onderzoeker via bluetooth in tien seconden te besmetten met malware. De fabrikant ontkent en spreekt van theoretische scenario's die in de praktijk niet mogelijk zijn.

Om de infectie te bewerkstelligen, hoeft de FitBit niet eens via bluetooth verbonden te zijn met het apparaat van de aanvaller. Zolang aanvaller en doelwit binnen bluetooth-bereik van elkaar zijn, kan de infectie plaatsvinden. De malware kan daarna gemakkelijk overspringen naar computers waarmee de wearable verbonden wordt. Zo kan bijvoorbeeld een backdoor geïnstalleerd worden op de laptop van de eigenaar en kan de malware zich verder verspreiden naar andere FitBits die op de computer aangesloten worden. Bovendien blijft de malware ook grotendeels op de Fitbit aanwezig na een herstart van de armband.

De ontdekker van de kwetsbaarheid, malware-onderzoeker Axelle Apvrille van netwerkbeveiligingsbedrijf Fortinet, heeft FitBit in maart van dit jaar op de hoogte gesteld van de kwetsbaarheid. De fabrikant heeft sindsdien nog niets gedaan om het beveiligingsgat te dichten. Daarom publiceert ze nu haar bevindingen. Op onder andere de hack.lu-conferentie in Luxemburg heeft ze de techniek gedemonstreerd. Op Twitter voegt ze er nog aan toe dat het momenteel om een proof of concept gaat, en dat er geen kwaadaardige code in haar demo zit. Ook laat Apvrille weten dat het ernaar uitziet dat het om alle FitBit-modellen gaat.

FitBit zelf ontkent echter tegenover Forbes dat de wearables vatbaar zijn voor een dergelijke infectie. "Wij geloven dat de meldingen van veiligheidsproblemen niet kloppen en dat FitBits niet gebruikt kunnen worden om gebruikers met malware te besmetten." Verder stelt het bedrijf dat het een "open communicatiekanaal onderhoudt met Fortinet" en dat het "nog geen data heeft gezien die zouden aangeven dat het mogelijk is om malware te verspreiden met een FitBit."

Moderatie-faq Wijzig weergave

Reacties (45)

Om de infectie te bewerkstelligen, hoeft de FitBit niet eens via bluetooth verbonden te zijn met het apparaat van de aanvaller. Zolang aanvaller en doelwit binnen bluetooth-bereik van elkaar zijn, kan de infectie plaatsvinden.
Dat lijkt me geen fijne gedachte...
Dat de malware zonder je toestemming je telefoon of tablet kan besmetten!
Echter voor een 'besmetting' is meer nodig dan alleen het injecteren van code. Deze code moet ook iets doen, liefts iets 'nuttigs' (voor de aanvaller dan). Hoe dan ook kun je pas spreken van 'virus' of 'besmetting' als de code in staat is zichzelf te repliceren.
Hoe dan ook kun je pas spreken van 'virus' of 'besmetting' als de code in staat is zichzelf te repliceren.
Een programma dat zichzelf repliceert noemt men over eht algemeen een worm, geen virus.

[Reactie gewijzigd door 80466 op 23 oktober 2015 10:59]

Het wordt natuurlijk nog veel leuker als je malware maakt die ook van fitbit naar fitbit kan overspringen, zonder tussenkomst van een pc :)
Dit zal lastiger gaan, aangezien de FitBit normaal gesproken niet met andere FitBits communiceert en wel met laptops. De mogelijkheid zal ongetwijfeld aanwezig zijn, maar ik vraag me af wat het nut hiervan is. De maximaal mogelijke payload is immers maar 17 bytes.
Ja, met die 17 bytes kun je in theorie al aardig wat. Even uit de presentatie van de onderzoekster gehaald:
Max 17 bytes. Is that enough?I
• Yes. Crash Pentium Trojan(2004): 4 bytes
• Mini DOS virus (1991): 13bytes
• Not enough for an advancedbotnet though ;)

bron: https://www.framadrive.org/index.php/s/7Xal6WfggnFxSFY sheet 29

[Reactie gewijzigd door NL-RaVeR op 22 oktober 2015 11:44]

De payload kan inderdaad niet zo heel groot zijn maar in 17 bytes kun je nog best iets huisvesten inderdaad.

Interessant wordt dit ook wanneer je een payload weet te maken die de betreffende PC besmet en deze actief iets kan laten ophalen (bv grotere malware). Het extern laden van malware kan al genoeg zijn of de pc forceren om een website op te vragen waar je een drive-by exploit klaar hebt staan. Op die manier zou je veel geavanceerdere malware kunnen activeren.
Een internet-adres om malware op te halen, plus de instructie om dit te doen, in 17 bytes, is niet zo waarschijnlijk..
Als je inderdaad al nagaat wat je in 32 bytes kunt stoppen: http://www.pouet.net/prod.php?which=60486 is die 17 bytes gewoon compleet geloofwaardig.

[Reactie gewijzigd door SkyStreaker op 22 oktober 2015 18:17]

Nou ik vind zelf twee voorbeelden uit de vele tienduizenden (?) virussen en trojans die er in de afgelopen jaren verschenen zijn niet echt indrukwekkend. Zeker omdat de ene vrijwel zeker een processor-bug exploiteert (die dus allang fixed is) en die andere uit 1991 stamt.... Een tijd dat we ons hele OS nog op ÚÚn floppy kregen. Toen was 17 bytes gewoon huge :+
Potentieel Internet of things dingetje waar we rekening mee moeten gaan houden?
Als je daar nu nog geen rekening mee houdt, dan leef je als ontwikkelaar onder een grote steen.

Netwerkacces of connectie met de buitenwereld moet je beschermen.
Lijkt me standaard procedure, bij elke verbinding, om te controleren wie en wanneer er acces mag zijn
Als je daar nu nog geen rekening mee houdt, dan leef je als ontwikkelaar onder een grote steen.
Ontwikkelaars weten dat wel, maar managers en andere pippo's die over het budget beslissen (en het meestal goed kunnen uitleggen zonder dat ze enige technische kennis hebben) willen alles zo goedkoop mogelijk.
Gevolg: de ontwikkelaar krijgt geen tijd om een deftige beveiliging in te bouwen met alle gevolgen van dien.
Meh, de helft (*) van de toestellen rekenen erop dat er een firewall tussen machine -> internet zit.

* gok
"Wij geloven dat de meldingen van veiligheidsproblemen niet kloppen en dat FitBits niet gebruikt kunnen worden om gebruikers met malware te besmetten."
Geloven? Goh, ik geloof dat ik kan vliegen, dat maakt het nog niet de waarheid. Een hacker heeft aangetoond dat het werkt en heeft dit aangekaart bij het bedrijf.
Dat je als bedrijf je kop dan in het zand steekt.... Daar kan ik echt niet bij.
Geloven? Goh, ik geloof dat ik kan vliegen, dat maakt het nog niet de waarheid.
Jij gelooft blijkbaar ook de hacker op zijn woord. Waarom geloof je die wel en niet de maker van het produkt die wel beter zal weten dan jij waar de klepel hangt?
Ik weet gewoon niet wie gelijk heeft, maar buiten de hacker en fitbit weet ook niemand anders dat. Zo'n filmpje is niet moeilijk na te maken. Gisteren hier nog zo een filmpje gezien van een werkend hoverboard met Doc Emmett Brown die instemmend toekeek.
Wat een vergelijking. Een video gerelateerd aan een datum van een film of het hacken van een consumer device. Wie zou er precies moeten lachen om een fake proof-of-concept voor een FitBit?

Volgens het artikel is dit overigens op een conferentie getoond:

"Op onder andere de hack.lu-conferentie in Luxemburg heeft ze de techniek gedemonstreerd."

Je denkt echt dat er een groep mensen is die de wereld rondreist om mensen een neppe hack voor een FitBit te laten zien? Overigens, stel het is allemaal hartstikke nep. Dan heeft het bedrijf het alsnog serieus te nemen totdat het uitgesloten is. Het enige argument dat ze opgeven is "er is nog niets gebeurd en we hebben contact met een security-bedrijf." Beide argumenten sluiten niet uit dat het apparaat te hacken valt.
Een video gerelateerd aan een datum van een film
Die video had niks met back to the future day te maken want was vorig jaar al uitgezonden.
Wie zou er precies moeten lachen om een fake proof-of-concept voor een FitBit?
ik zeg nergens dat het om te lachen was. Er zijn genoeg mensen die gewoon graag in de belangstelling willen komen. De hack is voor zover ik weet nog nergens gereproduceerd.
Je denkt echt dat er een groep mensen is die de wereld rondreist om mensen een neppe hack voor een FitBit te laten zien?
Nee, maar ik denk wel dat er een heleboel mensen zijn die graag in de belangstelling staan.
"er is nog niets gebeurd en we hebben contact met een security-bedrijf." Beide argumenten sluiten niet uit dat het apparaat te hacken valt.
ik zeg nergens dat het apparaat niet te hacken valt. Het lijkt me - zonder alle details te kennen - dat fitbit hier totnogtoe correct handelt.

Mijn reactie was trouwens gericht naar equit1986 die heel makkelijk de kant van de hacker kiest. Als er 2 partijen tegengestelde zaken zeggen kun je gewoon niet weten wie gelijk heeft zonder meer info dan in het artikel staat.

[Reactie gewijzigd door vampke op 22 oktober 2015 13:37]

Snap ik, maar het bedrijf reageert te lauw. Als het echt als hub kan fungeren om zo nog een rits andere apparaten te slopen, lijkt me dat je eerste reactie niet moet zijn "oh dat geloven we niet, we hebben immers een extern bedrijf op de payroll"
Ik *vermoed* dat het bedrijf zoiets heeft van:

'Gefeliciteerd het is je gelukt om 17 bytes op een FitBit te laden... So What? Wat kun je met 17 bytes??'
Op Twitter voegt ze er nog aan toe dat het momenteel om een proof of concept gaat, en dat er geen kwaadaardige code in haar demo zit.
Als het idd zo is dat het bedrijf gewoon niet gelooft dat het met 17 bytes Řberhaupt mogelijk is om 'kwaadaardige code' te injecteren (aangezien die code veel meer ruimte in beslag zou nemen) dan zou ik de onderzoeker aanraden dit PoC uit te bouwen tot een geloofwaardige hack (dus met kwaadaardige code er in).

Eerlijk gezegd vind ik de twee voorbeelden die ze noemt niet heel overtuigend omdat ze oud zijn, niche (specifieke proc die verkeerd omgaat met een instructie) en geen 'nut' hebben behalve '1337-haxor' je PC laten crashen...
Dat externe bedrijf staat niet op de payroll; dat is het bedrijf van de onderzoekster die ze dus niet geloven. FitBit zegt alleen dat ze 'open communiceren' met dat bedrijf.
Inderdaad. Dan krijg je zaken zoals die hacking van jeep http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ . Beveiligingsonderzoekers hadden aangegeven dat er problemen waren maar de fabrikant heeft dit weggelachen en geminimaliseerd omdat er fysieke toegang nodig was via de CAN bus.

Dezelfde beveiligingsonderzoekers hebben dan maar 1,5 jaar gewerkt aan een hack waar geen fysieke toegang nodig was wat Jeep tot een recall verplicht heeft. Hadden ze de eerste waarschuwing serieus genomen en wat meer aandacht besteed aan security, dan was de dure recall van alle getroffen modellen niet nodig.
Ik geef af en toe 'bijles' op het gebied van security. Wordt een organisatie dan gewezen op een gat in hun systemen dan komt het regelmatig voor dat men de kop in het zand steekt. Ze vinden dan bijvoorbeeld dat ze er niets aan hoeven te doen omdat niemand er wat aan zou hebben om hen te hacken 8)7 of dat het beveiligen te veel geld zou gaan kosten.
Overigens zijn er voor mij geen financiŰle belangen om die gaten te laten dichten. Wij verzorgen alleen dat zo'n organisatie zich bewust wordt van de gevaren.
Ik heb een FitBit charge HR en begin me nu eigenlijk toch wel wat zorgen te maken... Als je "All-day sync" hebt uitstaan, kan het dan nog altijd gebeuren ? Ik vermoed dat de bluetooth toch wel uitgeschakeld wordt als je geen data aan het verzenden bent tussen de tracker en de computer :?

Buiten dit probleem, vind ik het probleem van de rashes ook maar weinig positief :'( nieuws: Tienduizend klanten klaagden over ge´rriteerde polsen bij Fitbit-wearable
Als bluetooth op de fitbit zich uitschakelt als je geen data verzendt, hoe gaat het dan weer aan? Magie? Met andere woorden: bluetooth staat altijd aan op de fitbit. Die setting heeft alleen invloed op de bluetooth van je smartphone lijkt me.
In principe zouden ze met een klop patroon de Bluetooth kunnen ontwaken.
Als Fitbit dat kan, dan kan malware dat ook :)
Popup: "Meneer, wilt u even op uw Fitbit kloppen zodat ik uhh.. niks met uw fitbit kan doen"

Van het type courtesy-virus?
Ah, een fysiek klop patroon. In dat geval wordt het inderdaad lastiger. Hahaha, I stand corrected.

Ik heb ook nog ergens een Flex liggen. Kan ik deze malware code ergens downloaden en testen?
Admin-edit:Vragen en linken naar malware is op Tweakers niet toegestaan.

[Reactie gewijzigd door Dirk op 22 oktober 2015 22:34]

Admin-edit:
Vragen en linken naar malware is op Tweakers niet toegestaan.
...
Op Twitter voegt ze er nog aan toe dat het momenteel om een proof of concept gaat, en dat er geen kwaadaardige code in haar demo zit.
..
Kan ik deze malware demo code ergens downloaden en testen?
Precies dat. Het wordt in het artikel zelf Malware genoemd en deze term nam ik blind over. Krijg ik een mailtje van Tweakers dat het vragen naar malware niet is toegestaan? Ik vroeg alleen naar de proof-of-concept code van de dame waar het artikel naar refereert.

Had ik deze waarschuwing ook gehad als ik het woord malware had weggelaten? En hoe kan ik vragen naar malware als de code waar in naar vraag niets schadelijks doet an sich?
FitBit zelf ontkent echter tegenover Forbes dat de wearables vatbaar zijn voor een dergelijke infectie. "Wij geloven dat de meldingen van veiligheidsproblemen niet kloppen en dat FitBits niet gebruikt kunnen worden om gebruikers met malware te besmetten." Verder stelt het bedrijf dat het een "open communicatiekanaal onderhoudt met Fortinet" en dat het "nog geen data heeft gezien die zouden aangeven dat het mogelijk is om malware te verspreiden met een FitBit."
Dit vind ik nou echt heel dom. Gewoon glashard ontkennen dat dit kan, terwijl een onderzoeker het al meermalen gedemonstreerd heeft. De kans is groot dat ze het er niet voor over hadden om dit te dichten, en nu willen ze net doen alsof er niks aan de hand is. Het kan natuurlijk ook nog zijn dat ze het niet wisten, maar dan is er wel echt iets mis gegaan in de communicatie en dat is erg onwaarschijnlijk.
De onderzoekster heeft NIET gedemonstreerd dat PC's besmet kunnen worden met malware:
Op Twitter voegt ze er nog aan toe dat het momenteel om een proof of concept gaat, en dat er geen kwaadaardige code in haar demo zit
Het is de onderzoekster gelukt om 17 bytes naar eigen keuze te injecteren op het toestel.... Hoewel ik dat niet snap want
H a c k U r F l e x
is volgens mij 19 bytes en niet 17...

Anyway het lijkt er op dat de fabrikant stelt dat dit een theoretisch verhaal is en dat het niet mogelijk is daadwerkelijke besmettingen te doen met maar 17 (19?) bytes.

EDIT: Bij nader inzien lijkt het er op dat ze de individuele bytes gescheiden heeft met spaties en dat die niet meetellen bij de payload. Dan hebben we het dus over 10 bytes payload, wat strookt met
GOOD: Partial recovery of injected code: 7 bytes / 10 (70 percent)

[Reactie gewijzigd door OddesE op 23 oktober 2015 00:14]

Ah, ik had opgevat dat ze ook een stukje code had gebouwd dat werd uitgevoerd na injectie, maar dat is dus niet zo. Als ze kan aantonen dat dat wel mogelijk is dan heeft Fitbit een probleem, maar als ze dit niet kan aantonen (buiten die paar letters die ze heeft gestuurd) dan is het een beetje vroeg geroepen. We zullen moeten wachten op reacties van andere beveiligingsonderzoekers.

edit:
Je kunt met die paar letters dus wel degelijk iets:

Even een quote van NL-RaVeR
Ja, met die 17 bytes kun je in theorie al aardig wat. Even uit de presentatie van de onderzoekster gehaald:
Max 17 bytes. Is that enough?I
• Yes. Crash Pentium Trojan(2004): 4 bytes
• Mini DOS virus (1991): 13bytes
• Not enough for an advanced botnet though ;)
Als dit echt werkt (wat ze dus nog niet heeft geprobeerd) dan kunnen er wel wat leuke dingetjes mee gedaan worden. Om een PC te infecteren heb je echter iets ingewikkeldere malware nodig, en ik weet niet of dat in die 17 bytes echt kan. We shall see.. ;)

[Reactie gewijzigd door Pwuts op 23 oktober 2015 10:17]

"Wij geloven dat de meldingen van veiligheidsproblemen niet kloppen en dat FitBits niet gebruikt kunnen worden om gebruikers met malware te besmetten."

Geloven niet of kunnen het tegendeel bewijzen? Blijft me verbazen dat bedrijven niet gewoon zeggen "we f*cked up, sorry" Als je in deze dagen nog zo blind blijft voor dit soort onderzoeken, ben je niet goed bezig en wil je in mijn ogen echt alleen iets meepikken van de hype.
Maar ff een alu horlogebandje halen dan.
ot: wat voor tijdframe heb je nodig, om die 17 bytes te uploaden? Zonder dat het horloge al een actieve verbinding heeft, bedoel ik.

Desalwelteplus een verontrustende ontwikkeling. Je zal maar lekker ergens op een terrasje zitten, met je horloge om je pols en je krijgt een armvol malware mee naar huis. Zoek dan maar eens uit waar dat vandaan is gekomen.
stel je voor dat dit mogelijk word voor andere smartwatches zoals de samsung gear s zit ik dalijk lekker op een terras of ben ik naar de film en dan loop ik met malware naar huis. dit is niet echt iets waar ik mij prettig bij voel
Nu.nl is was sneller als tweakers! dat mag niet he :P

Anyway wat ik niet begrijp is dat je als producent hier niks aan doet, het bedrijf was immers in maart al aangesproken op het lek. Los van de kwaadaardigehackers, vind ik dit toch wel een gevaarlijk iets. Wat nou als een overheid dit lek gebruikt om vervolgens zooi op zijn of haar computer te installeren, zie dat namelijk ook snel gebeuren in sommige landen..
Nu.nl is was sneller als tweakers! dat mag niet he
Ik heb liever berichtgeving van hoge kwaliteit, dan broddelwerk een paar minuten eerder..
Zoek het artikel maar eens op, geeft dezelfde hoeveel informatie. Dus wat bedoel je met "broddelwerk"? en FYI, het was een dag eeder :Y)
Het is meestal niet accuraat daar.
Nu.nl komt regelmatig met een snel geplaatst artikel vol fouten en past het gaandeweg aan, vaak zonder de eerdere fouten te vermelden. Let maar eens op, vooral bij de meer technische artikelen.
Net alsof de nieuwsberichten van Tweakers "kwaliteit" zijn, 90% zijn slecht overgetikte berichten van Engelse sites.

Op tweakers kom ik voor de community, die is top maar de rest? Nah
Daar ben ik het helemaal mee eens! Sterker nog Tweakers.net heeft alleen "Eigen" reviews en totaal geen nieuws wat bij hun kan worden herleid!
Maar goed!!

Wat ik me afvroeg eigenlijk: Je kunt met de Fitbit app op iOS + iPhone 6 of hoger de mobile tracker aanzetten, als je dit doet ben je dan ook vatbaar voor de malware/hack?
Of is dit niet bekend?

#Offtopic
Ik vind het eigenlijk wel zonde, want was net van plan om zo'n Tracker te halen!
klopt, dat mag niet! "sneller dan" mag wel... :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True