Video: Review and how to set up a generic fitness tracker with VeryFitPro app - (Amazon) (Listopad 2024)
Když zasáhnete 10 000 kroků nebo dosáhnete jiného cíle zaměřeného na fitness trackery, chcete se o svůj úspěch podělit s přáteli, že? V závislosti na tom, jaké zařízení používáte, můžete také sdílet vaše soukromé informace se světem nebo se všemi blízkými. Vědci z AV-Test Institute analyzovali zabezpečení devíti populárních fitness sledovačů a některá jejich zjištění nebyla hezká.
Stručně řečeno, společnost Fitbit Charge a Acer Liquid Leap nezajišťují připojení Bluetooth vůbec. To znamená, že vaše data podléhají přejetí prstem. Jawbone Up24 a Sony Smartband Talk SWR30 odvedly nejlepší práci na ochraně dat uživatele.
Samozřejmě byla testována pouze jedna položka v každé produktové řadě každé společnosti, ale obezřetnost diktuje předpoklady, že výsledky budou platit plošně. To, že máte Fitbit nárůst a ne Fitbit poplatek, neznamená, že jste v bezpečí.
Koho to zajímá?
Ale počkejte, možná řeknete, je mi jedno, kdo vidí moje data; Jsem hrdý na svou kondici! Zpráva uvádí několik důvodů, proč by tento postoj mohl být naivní. Například někteří zdravotní pojišťovny nabízejí nižší sazby zákazníkům, kteří prokazují svou způsobilost pomocí trackeru. Bezohledný uživatel by mohl unést údaje o sousedovi vhodnějšímu, aby získal nižší rychlost, nebo ukrást data a držet je pro výkupné.
Pokud data zařízení nejsou zabezpečená, je možné je upravovat zvenčí. „Nebude to dlouho trvat, než si děti budou hrát na žertovném joggingu žertíky zvýšením jeho krevního tlaku a pulsních údajů o několik zářezů, “ poznamenává zpráva, „čímž hypochondrům dávají ještě víc věcí, o které se nemusíte starat.“ Tato zpráva skutečně uvádí, jak snadno se vědcům podařilo převzít jedno konkrétní zařízení.
Bluetooth Promiskuita
Všechny testované sledovače používají Bluetooth pro připojení k aplikaci pro Android. Při správném provedení může být párování Bluetooth docela bezpečné. Sony Smartband Talk SWR30, Polar Loop a Withings Pulse Ox se po spárování s telefonem stanou neviditelnými pro jiná zařízení. Garmin Vivosmart a Huawei TalkBand B1 vyžadují autentizaci pro párování. Jawbone Up24 a LG Lifeband Touch FB84 jdou dále a vyžadují párování pro fyzický přístup k zařízení.
Zbývající dva, Acer Liquid Leap a Fitbit Charge, připojení BlueTooth vůbec nezajišťují. Zejména Fitbit Charge se spáruje s jakýmkoli zařízením Bluetooth, které je v dosahu, a prostá textová data nejsou vůbec chráněna. Produkty Jawbone a Huawei nejsou tak široké otevřené, ale budou spárovány s více než jedním zařízením. Pokud jde o Acer Liquid Leap, zdá se, že vyžaduje ověření pomocí kódu PIN, ale kód je staticky odvozen od veřejného názvu zařízení.
Zabezpečení aplikace
Programy pro Android se liší od kompilovaných spustitelných programů, které běží pod Windows. Kdokoli může program Android dekompilovat zpět do jeho zdrojového kódu pomocí snadno dostupných nástrojů. Hacker by mohl použít tento zdrojový kód k určení toho, jak aplikace fitness komunikuje s odpovídajícím trackerem, a napsat padělanou aplikaci, která tuto komunikaci převezme.
Chytrí Android programátoři používají nástroje a techniky k zatemnění programového kódu, což ztěžuje reverzní inženýrství. Vypnou také funkce protokolování, které jsou užitečné při vytváření programu, ale které poskytují informace o interních aplikacích. A samozřejmě sestavují konečnou verzi s vypnutým laděním.
Pouze dva z testovaných produktů, Jawbone Up24 a Sony Smartband Talk SWR30, použily všechny tyto tři techniky. Huawei and Withings vydala debugovací kód s protokolováním zapnutým a aplikovalo se pouze omezené zmatení. Společnosti Acer a LG Lifeband se nepokusily narušit zpětné inženýrství.
Vědci AV-Testu snadno vytvořili falešnou aplikaci, která by mohla sát data ze zařízení Acer. Dokonce se jim podařilo změnit vnitřní záznamy zařízení, takže „denní trénink byl dokončen během několika sekund, aniž by došlo k porušení potu“.
Špatné zprávy, dobré zprávy
Pokud jste zakořenili telefon, jste mnohem zranitelnější vůči všem druhům hackerství, včetně hackerství fitness trackeru. Dobrou zprávou je, že všechna testovaná zařízení správně ukládají svá data do chráněné paměti. Špatnou zprávou je, že pokud jste zakořenili telefon, tato paměť již není chráněna.
Další dobré zprávy - všechny testované aplikace správně chránily svá data při přenosu do cloudu. Šifrovali data a přenášeli je pomocí
- Nejlepší fitness trackery pro rok 2019 Nejlepší fitness trackery pro rok 2019
- Čelisti UP24 Čelisti UP24
- Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Vítězové a poražení
Úplná zpráva podrobně popisuje, co se vědci dozvěděli, a ukazuje, že dostupná bezpečnost v této oblasti produktů se velmi liší. Praktický graf identifikuje 11 důležitých bodů pro zabezpečení fitness trackeru. Nahoře, Sony Smartband Talk SWR30 zmeškal jen jeden - nemůžete deaktivovat Bluetooth z trackeru. Polární smyčka zmeškala stejný bod a také neudělala všechno, co bylo možné, proti zpětnému inženýrství, ale to je pořád docela dobré.
Na druhém konci spektra chyběl Acer Liquid Leap devět z 11 bodů. Získal kredit za uchovávání dat v chráněné paměti a částečný kredit za zabezpečení interní komunikace; to je vše. Služba Fitbit Charge vynechala osm bezpečnostních prvků, včetně všech prvků souvisejících s ochranou komunikace Bluetooth.
Tým AV-Testu formálně informoval všechny své dodavatele o svých zjištěních. Plánují další vyšetřování, jakmile prodejci budou mít čas na posílení své bezpečnostní hry.
