'FitBit-fitnesstracker is in tien seconden van malware te voorzien'

De FitBit-fitnesstracker van het gelijknamige Amerikaanse bedrijf, is volgens een malware-onderzoeker via bluetooth in tien seconden te besmetten met malware. De fabrikant ontkent en spreekt van theoretische scenario's die in de praktijk niet mogelijk zijn.

Om de infectie te bewerkstelligen, hoeft de FitBit niet eens via bluetooth verbonden te zijn met het apparaat van de aanvaller. Zolang aanvaller en doelwit binnen bluetooth-bereik van elkaar zijn, kan de infectie plaatsvinden. De malware kan daarna gemakkelijk overspringen naar computers waarmee de wearable verbonden wordt. Zo kan bijvoorbeeld een backdoor geïnstalleerd worden op de laptop van de eigenaar en kan de malware zich verder verspreiden naar andere FitBits die op de computer aangesloten worden. Bovendien blijft de malware ook grotendeels op de Fitbit aanwezig na een herstart van de armband.

De ontdekker van de kwetsbaarheid, malware-onderzoeker Axelle Apvrille van netwerkbeveiligingsbedrijf Fortinet, heeft FitBit in maart van dit jaar op de hoogte gesteld van de kwetsbaarheid. De fabrikant heeft sindsdien nog niets gedaan om het beveiligingsgat te dichten. Daarom publiceert ze nu haar bevindingen. Op onder andere de hack.lu-conferentie in Luxemburg heeft ze de techniek gedemonstreerd. Op Twitter voegt ze er nog aan toe dat het momenteel om een proof of concept gaat, en dat er geen kwaadaardige code in haar demo zit. Ook laat Apvrille weten dat het ernaar uitziet dat het om alle FitBit-modellen gaat.

FitBit zelf ontkent echter tegenover Forbes dat de wearables vatbaar zijn voor een dergelijke infectie. "Wij geloven dat de meldingen van veiligheidsproblemen niet kloppen en dat FitBits niet gebruikt kunnen worden om gebruikers met malware te besmetten." Verder stelt het bedrijf dat het een "open communicatiekanaal onderhoudt met Fortinet" en dat het "nog geen data heeft gezien die zouden aangeven dat het mogelijk is om malware te verspreiden met een FitBit."

Reacties (45)

Dark Angel 58 22 oktober 2015 12:06

Om de infectie te bewerkstelligen, hoeft de FitBit niet eens via bluetooth verbonden te zijn met het apparaat van de aanvaller. Zolang aanvaller en doelwit binnen bluetooth-bereik van elkaar zijn, kan de infectie plaatsvinden.

Dat lijkt me geen fijne gedachte...
Dat de malware zonder je toestemming je telefoon of tablet kan besmetten!

OddesE @Dark Angel 58 • 23 oktober 2015 00:16

Echter voor een 'besmetting' is meer nodig dan alleen het injecteren van code. Deze code moet ook iets doen, liefts iets 'nuttigs' (voor de aanvaller dan). Hoe dan ook kun je pas spreken van 'virus' of 'besmetting' als de code in staat is zichzelf te repliceren.

Verwijderd @OddesE • 23 oktober 2015 10:58

Hoe dan ook kun je pas spreken van 'virus' of 'besmetting' als de code in staat is zichzelf te repliceren.

Een programma dat zichzelf repliceert noemt men over eht algemeen een worm, geen virus.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 13:18]

MartijnHavinga 22 oktober 2015 11:19

Het wordt natuurlijk nog veel leuker als je malware maakt die ook van fitbit naar fitbit kan overspringen, zonder tussenkomst van een pc

ceun92 @MartijnHavinga • 22 oktober 2015 11:28

Dit zal lastiger gaan, aangezien de FitBit normaal gesproken niet met andere FitBits communiceert en wel met laptops. De mogelijkheid zal ongetwijfeld aanwezig zijn, maar ik vraag me af wat het nut hiervan is. De maximaal mogelijke payload is immers maar 17 bytes.

NL-RaVeR @ceun92 • 22 oktober 2015 11:43

Ja, met die 17 bytes kun je in theorie al aardig wat. Even uit de presentatie van de onderzoekster gehaald:
Max 17 bytes. Is that enough?I
• Yes. Crash Pentium Trojan(2004): 4 bytes
• Mini DOS virus (1991): 13bytes
• Not enough for an advancedbotnet though

bron: https://www.framadrive.org/index.php/s/7Xal6WfggnFxSFY sheet 29

[Reactie gewijzigd door NL-RaVeR op 24 juli 2024 13:18]

Bor Coördinator Frontpage Admins / FP Powermod @NL-RaVeR • 22 oktober 2015 12:44

De payload kan inderdaad niet zo heel groot zijn maar in 17 bytes kun je nog best iets huisvesten inderdaad.

Interessant wordt dit ook wanneer je een payload weet te maken die de betreffende PC besmet en deze actief iets kan laten ophalen (bv grotere malware). Het extern laden van malware kan al genoeg zijn of de pc forceren om een website op te vragen waar je een drive-by exploit klaar hebt staan. Op die manier zou je veel geavanceerdere malware kunnen activeren.

thegve @Bor • 22 oktober 2015 17:57

Een internet-adres om malware op te halen, plus de instructie om dit te doen, in 17 bytes, is niet zo waarschijnlijk..

SkyStreaker @NL-RaVeR • 22 oktober 2015 18:16

Als je inderdaad al nagaat wat je in 32 bytes kunt stoppen: http://www.pouet.net/prod.php?which=60486 is die 17 bytes gewoon compleet geloofwaardig.

[Reactie gewijzigd door SkyStreaker op 24 juli 2024 13:18]

OddesE @SkyStreaker • 22 oktober 2015 23:48

Nou ik vind zelf twee voorbeelden uit de vele tienduizenden (?) virussen en trojans die er in de afgelopen jaren verschenen zijn niet echt indrukwekkend. Zeker omdat de ene vrijwel zeker een processor-bug exploiteert (die dus allang fixed is) en die andere uit 1991 stamt.... Een tijd dat we ons hele OS nog op één floppy kregen. Toen was 17 bytes gewoon huge

Kram Nelook @MartijnHavinga • 22 oktober 2015 11:24

Potentieel Internet of things dingetje waar we rekening mee moeten gaan houden?

FreshMaker @Kram Nelook • 22 oktober 2015 11:31

Als je daar nu nog geen rekening mee houdt, dan leef je als ontwikkelaar onder een grote steen.

Netwerkacces of connectie met de buitenwereld moet je beschermen.
Lijkt me standaard procedure, bij elke verbinding, om te controleren wie en wanneer er acces mag zijn

Kefke @FreshMaker • 22 oktober 2015 13:09

Als je daar nu nog geen rekening mee houdt, dan leef je als ontwikkelaar onder een grote steen.

Ontwikkelaars weten dat wel, maar managers en andere pippo's die over het budget beslissen (en het meestal goed kunnen uitleggen zonder dat ze enige technische kennis hebben) willen alles zo goedkoop mogelijk.
Gevolg: de ontwikkelaar krijgt geen tijd om een deftige beveiliging in te bouwen met alle gevolgen van dien.

svennd @FreshMaker • 22 oktober 2015 12:10

Meh, de helft (*) van de toestellen rekenen erop dat er een firewall tussen machine -> internet zit.

* gok

equit1986 22 oktober 2015 11:24

"Wij geloven dat de meldingen van veiligheidsproblemen niet kloppen en dat FitBits niet gebruikt kunnen worden om gebruikers met malware te besmetten."

Geloven? Goh, ik geloof dat ik kan vliegen, dat maakt het nog niet de waarheid. Een hacker heeft aangetoond dat het werkt en heeft dit aangekaart bij het bedrijf.
Dat je als bedrijf je kop dan in het zand steekt.... Daar kan ik echt niet bij.

Verwijderd @equit1986 • 22 oktober 2015 12:45

Geloven? Goh, ik geloof dat ik kan vliegen, dat maakt het nog niet de waarheid.

Jij gelooft blijkbaar ook de hacker op zijn woord. Waarom geloof je die wel en niet de maker van het produkt die wel beter zal weten dan jij waar de klepel hangt?
Ik weet gewoon niet wie gelijk heeft, maar buiten de hacker en fitbit weet ook niemand anders dat. Zo'n filmpje is niet moeilijk na te maken. Gisteren hier nog zo een filmpje gezien van een werkend hoverboard met Doc Emmett Brown die instemmend toekeek.

Verwijderd @Verwijderd • 22 oktober 2015 13:01

Wat een vergelijking. Een video gerelateerd aan een datum van een film of het hacken van een consumer device. Wie zou er precies moeten lachen om een fake proof-of-concept voor een FitBit?

Volgens het artikel is dit overigens op een conferentie getoond:

"Op onder andere de hack.lu-conferentie in Luxemburg heeft ze de techniek gedemonstreerd."

Je denkt echt dat er een groep mensen is die de wereld rondreist om mensen een neppe hack voor een FitBit te laten zien? Overigens, stel het is allemaal hartstikke nep. Dan heeft het bedrijf het alsnog serieus te nemen totdat het uitgesloten is. Het enige argument dat ze opgeven is "er is nog niets gebeurd en we hebben contact met een security-bedrijf." Beide argumenten sluiten niet uit dat het apparaat te hacken valt.

Verwijderd @Verwijderd • 22 oktober 2015 13:36

Een video gerelateerd aan een datum van een film

Die video had niks met back to the future day te maken want was vorig jaar al uitgezonden.

Wie zou er precies moeten lachen om een fake proof-of-concept voor een FitBit?

ik zeg nergens dat het om te lachen was. Er zijn genoeg mensen die gewoon graag in de belangstelling willen komen. De hack is voor zover ik weet nog nergens gereproduceerd.

Je denkt echt dat er een groep mensen is die de wereld rondreist om mensen een neppe hack voor een FitBit te laten zien?

Nee, maar ik denk wel dat er een heleboel mensen zijn die graag in de belangstelling staan.

"er is nog niets gebeurd en we hebben contact met een security-bedrijf." Beide argumenten sluiten niet uit dat het apparaat te hacken valt.

ik zeg nergens dat het apparaat niet te hacken valt. Het lijkt me - zonder alle details te kennen - dat fitbit hier totnogtoe correct handelt.

Mijn reactie was trouwens gericht naar equit1986 die heel makkelijk de kant van de hacker kiest. Als er 2 partijen tegengestelde zaken zeggen kun je gewoon niet weten wie gelijk heeft zonder meer info dan in het artikel staat.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 13:18]

Verwijderd @Verwijderd • 22 oktober 2015 14:30

Snap ik, maar het bedrijf reageert te lauw. Als het echt als hub kan fungeren om zo nog een rits andere apparaten te slopen, lijkt me dat je eerste reactie niet moet zijn "oh dat geloven we niet, we hebben immers een extern bedrijf op de payroll"

OddesE @Verwijderd • 22 oktober 2015 23:57

Ik *vermoed* dat het bedrijf zoiets heeft van:

'Gefeliciteerd het is je gelukt om 17 bytes op een FitBit te laden... So What? Wat kun je met 17 bytes??'

Op Twitter voegt ze er nog aan toe dat het momenteel om een proof of concept gaat, en dat er geen kwaadaardige code in haar demo zit.

Als het idd zo is dat het bedrijf gewoon niet gelooft dat het met 17 bytes überhaupt mogelijk is om 'kwaadaardige code' te injecteren (aangezien die code veel meer ruimte in beslag zou nemen) dan zou ik de onderzoeker aanraden dit PoC uit te bouwen tot een geloofwaardige hack (dus met kwaadaardige code er in).

Eerlijk gezegd vind ik de twee voorbeelden die ze noemt niet heel overtuigend omdat ze oud zijn, niche (specifieke proc die verkeerd omgaat met een instructie) en geen 'nut' hebben behalve '1337-haxor' je PC laten crashen...

gday

@Verwijderd • 23 oktober 2015 09:21

Dat externe bedrijf staat niet op de payroll; dat is het bedrijf van de onderzoekster die ze dus niet geloven. FitBit zegt alleen dat ze 'open communiceren' met dat bedrijf.

PierreG @equit1986 • 22 oktober 2015 11:44

Inderdaad. Dan krijg je zaken zoals die hacking van jeep http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ . Beveiligingsonderzoekers hadden aangegeven dat er problemen waren maar de fabrikant heeft dit weggelachen en geminimaliseerd omdat er fysieke toegang nodig was via de CAN bus.

Dezelfde beveiligingsonderzoekers hebben dan maar 1,5 jaar gewerkt aan een hack waar geen fysieke toegang nodig was wat Jeep tot een recall verplicht heeft. Hadden ze de eerste waarschuwing serieus genomen en wat meer aandacht besteed aan security, dan was de dure recall van alle getroffen modellen niet nodig.

rud @equit1986 • 22 oktober 2015 11:55

Ik geef af en toe 'bijles' op het gebied van security. Wordt een organisatie dan gewezen op een gat in hun systemen dan komt het regelmatig voor dat men de kop in het zand steekt. Ze vinden dan bijvoorbeeld dat ze er niets aan hoeven te doen omdat niemand er wat aan zou hebben om hen te hacken

of dat het beveiligen te veel geld zou gaan kosten.
Overigens zijn er voor mij geen financiële belangen om die gaten te laten dichten. Wij verzorgen alleen dat zo'n organisatie zich bewust wordt van de gevaren.

TT17 22 oktober 2015 12:57

Ik heb een FitBit charge HR en begin me nu eigenlijk toch wel wat zorgen te maken... Als je "All-day sync" hebt uitstaan, kan het dan nog altijd gebeuren ? Ik vermoed dat de bluetooth toch wel uitgeschakeld wordt als je geen data aan het verzenden bent tussen de tracker en de computer

Buiten dit probleem, vind ik het probleem van de rashes ook maar weinig positief

nieuws: Tienduizend klanten klaagden over geïrriteerde polsen bij Fitbit-wearable

woekele @TT17 • 22 oktober 2015 13:08

Als bluetooth op de fitbit zich uitschakelt als je geen data verzendt, hoe gaat het dan weer aan? Magie? Met andere woorden: bluetooth staat altijd aan op de fitbit. Die setting heeft alleen invloed op de bluetooth van je smartphone lijkt me.

Henk Poley @woekele • 22 oktober 2015 14:35

In principe zouden ze met een klop patroon de Bluetooth kunnen ontwaken.

chaozz @Henk Poley • 22 oktober 2015 14:43

Als Fitbit dat kan, dan kan malware dat ook

Henk Poley @chaozz • 22 oktober 2015 14:45

Popup: "Meneer, wilt u even op uw Fitbit kloppen zodat ik uhh.. niks met uw fitbit kan doen"

Van het type courtesy-virus?

chaozz @Henk Poley • 22 oktober 2015 14:49

Ah, een fysiek klop patroon. In dat geval wordt het inderdaad lastiger. Hahaha, I stand corrected.

Ik heb ook nog ergens een Flex liggen. Kan ik deze malware code ergens downloaden en testen?

Admin-edit:Vragen en linken naar malware is op Tweakers niet toegestaan.

[Reactie gewijzigd door Dirk op 24 juli 2024 13:18]

OddesE @chaozz • 23 oktober 2015 00:00

Admin-edit:
Vragen en linken naar malware is op Tweakers niet toegestaan.

...

Op Twitter voegt ze er nog aan toe dat het momenteel om een proof of concept gaat, en dat er geen kwaadaardige code in haar demo zit.

Kan ik deze malware demo code ergens downloaden en testen?

chaozz @OddesE • 23 oktober 2015 11:21

Precies dat. Het wordt in het artikel zelf Malware genoemd en deze term nam ik blind over. Krijg ik een mailtje van Tweakers dat het vragen naar malware niet is toegestaan? Ik vroeg alleen naar de proof-of-concept code van de dame waar het artikel naar refereert.

Had ik deze waarschuwing ook gehad als ik het woord malware had weggelaten? En hoe kan ik vragen naar malware als de code waar in naar vraag niets schadelijks doet an sich?

Pwuts 22 oktober 2015 11:57

FitBit zelf ontkent echter tegenover Forbes dat de wearables vatbaar zijn voor een dergelijke infectie. "Wij geloven dat de meldingen van veiligheidsproblemen niet kloppen en dat FitBits niet gebruikt kunnen worden om gebruikers met malware te besmetten." Verder stelt het bedrijf dat het een "open communicatiekanaal onderhoudt met Fortinet" en dat het "nog geen data heeft gezien die zouden aangeven dat het mogelijk is om malware te verspreiden met een FitBit."

Dit vind ik nou echt heel dom. Gewoon glashard ontkennen dat dit kan, terwijl een onderzoeker het al meermalen gedemonstreerd heeft. De kans is groot dat ze het er niet voor over hadden om dit te dichten, en nu willen ze net doen alsof er niks aan de hand is. Het kan natuurlijk ook nog zijn dat ze het niet wisten, maar dan is er wel echt iets mis gegaan in de communicatie en dat is erg onwaarschijnlijk.

OddesE @Pwuts • 23 oktober 2015 00:09

De onderzoekster heeft NIET gedemonstreerd dat PC's besmet kunnen worden met malware:

Op Twitter voegt ze er nog aan toe dat het momenteel om een proof of concept gaat, en dat er geen kwaadaardige code in haar demo zit

Het is de onderzoekster gelukt om 17 bytes naar eigen keuze te injecteren op het toestel.... Hoewel ik dat niet snap want

H a c k U r F l e x

is volgens mij 19 bytes en niet 17...

Anyway het lijkt er op dat de fabrikant stelt dat dit een theoretisch verhaal is en dat het niet mogelijk is daadwerkelijke besmettingen te doen met maar 17 (19?) bytes.

EDIT: Bij nader inzien lijkt het er op dat ze de individuele bytes gescheiden heeft met spaties en dat die niet meetellen bij de payload. Dan hebben we het dus over 10 bytes payload, wat strookt met

GOOD: Partial recovery of injected code: 7 bytes / 10 (70 percent)

[Reactie gewijzigd door OddesE op 24 juli 2024 13:18]

Pwuts @OddesE • 23 oktober 2015 10:11

Ah, ik had opgevat dat ze ook een stukje code had gebouwd dat werd uitgevoerd na injectie, maar dat is dus niet zo. Als ze kan aantonen dat dat wel mogelijk is dan heeft Fitbit een probleem, maar als ze dit niet kan aantonen (buiten die paar letters die ze heeft gestuurd) dan is het een beetje vroeg geroepen. We zullen moeten wachten op reacties van andere beveiligingsonderzoekers.

edit:
Je kunt met die paar letters dus wel degelijk iets:

Even een quote van NL-RaVeR

Ja, met die 17 bytes kun je in theorie al aardig wat. Even uit de presentatie van de onderzoekster gehaald:
Max 17 bytes. Is that enough?I
• Yes. Crash Pentium Trojan(2004): 4 bytes
• Mini DOS virus (1991): 13bytes
• Not enough for an advanced botnet though

Als dit echt werkt (wat ze dus nog niet heeft geprobeerd) dan kunnen er wel wat leuke dingetjes mee gedaan worden. Om een PC te infecteren heb je echter iets ingewikkeldere malware nodig, en ik weet niet of dat in die 17 bytes echt kan. We shall see..

[Reactie gewijzigd door Pwuts op 24 juli 2024 13:18]

Deurges 22 oktober 2015 11:23

"Wij geloven dat de meldingen van veiligheidsproblemen niet kloppen en dat FitBits niet gebruikt kunnen worden om gebruikers met malware te besmetten."

Geloven niet of kunnen het tegendeel bewijzen? Blijft me verbazen dat bedrijven niet gewoon zeggen "we f*cked up, sorry" Als je in deze dagen nog zo blind blijft voor dit soort onderzoeken, ben je niet goed bezig en wil je in mijn ogen echt alleen iets meepikken van de hype.

proatjeboksem 22 oktober 2015 13:52

Maar ff een alu horlogebandje halen dan.
ot: wat voor tijdframe heb je nodig, om die 17 bytes te uploaden? Zonder dat het horloge al een actieve verbinding heeft, bedoel ik.

Desalwelteplus een verontrustende ontwikkeling. Je zal maar lekker ergens op een terrasje zitten, met je horloge om je pols en je krijgt een armvol malware mee naar huis. Zoek dan maar eens uit waar dat vandaan is gekomen.

ReaperOfVeriod 23 oktober 2015 10:05

stel je voor dat dit mogelijk word voor andere smartwatches zoals de samsung gear s zit ik dalijk lekker op een terras of ben ik naar de film en dan loop ik met malware naar huis. dit is niet echt iets waar ik mij prettig bij voel

Jeffrey0416 22 oktober 2015 11:20

Nu.nl is was sneller als tweakers! dat mag niet he

Anyway wat ik niet begrijp is dat je als producent hier niks aan doet, het bedrijf was immers in maart al aangesproken op het lek. Los van de kwaadaardigehackers, vind ik dit toch wel een gevaarlijk iets. Wat nou als een overheid dit lek gebruikt om vervolgens zooi op zijn of haar computer te installeren, zie dat namelijk ook snel gebeuren in sommige landen..

kramer65 @Jeffrey0416 • 22 oktober 2015 11:26

Nu.nl is was sneller als tweakers! dat mag niet he

Ik heb liever berichtgeving van hoge kwaliteit, dan broddelwerk een paar minuten eerder..

Jeffrey0416 @kramer65 • 22 oktober 2015 11:29

Zoek het artikel maar eens op, geeft dezelfde hoeveel informatie. Dus wat bedoel je met "broddelwerk"? en FYI, het was een dag eeder

M.l. @Jeffrey0416 • 22 oktober 2015 11:44

Het is meestal niet accuraat daar.

Yggdrasil

@Jeffrey0416 • 22 oktober 2015 12:21

Nu.nl komt regelmatig met een snel geplaatst artikel vol fouten en past het gaandeweg aan, vaak zonder de eerdere fouten te vermelden. Let maar eens op, vooral bij de meer technische artikelen.

GrooV @kramer65 • 22 oktober 2015 11:52

Net alsof de nieuwsberichten van Tweakers "kwaliteit" zijn, 90% zijn slecht overgetikte berichten van Engelse sites.

Op tweakers kom ik voor de community, die is top maar de rest? Nah

Cybertek @GrooV • 22 oktober 2015 12:59

Daar ben ik het helemaal mee eens! Sterker nog Tweakers.net heeft alleen "Eigen" reviews en totaal geen nieuws wat bij hun kan worden herleid!
Maar goed!!

Wat ik me afvroeg eigenlijk: Je kunt met de Fitbit app op iOS + iPhone 6 of hoger de mobile tracker aanzetten, als je dit doet ben je dan ook vatbaar voor de malware/hack?
Of is dit niet bekend?

#Offtopic
Ik vind het eigenlijk wel zonde, want was net van plan om zo'n Tracker te halen!

DeFeCt @Jeffrey0416 • 22 oktober 2015 12:23

klopt, dat mag niet! "sneller dan" mag wel...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (45)

Sorteer op:

Weergave: