Videó: This BEST Fitness Tracker is Stunning for the Price - The Willful Smart Fitness Band (November 2024)
Amikor 10 000 lépést ér el, vagy elér egy másik fitnesz-követő célt, meg akarja osztani az eredményét barátaival, igaz? Attól függően, hogy milyen készüléket használ, megoszthatja személyes adatait a világgal vagy a közelben lévőkkel. Az AV-Test Institute kutatói kilenc népszerű fitnesz-nyomkövető biztonságát elemezték, és néhány megállapításuk nem volt elég szép.
Röviden: a Fitbit Charge és az Acer Liquid Leap egyáltalán nem biztosítják a Bluetooth-kapcsolataikat. Ez azt jelenti, hogy adatait ellophatja. A Jawbone Up24 és a Sony Smartband Talk SWR30 a legjobbat tette a felhasználói adatok védelmében.
Természetesen mindkét vállalat termékcsaládjában csak egy elemet tesztelték, ám a körültekintés azt feltételezi, hogy a megállapítások mindenre kiterjednek. Csak azért, mert Fitbit Surge-é van, és nem Fitbit Charge, nem jelenti azt, hogy biztonságban vagy.
Kit érdekel?
De várjon, mondhatná, nem érdekel, ki látja az adataimat; Büszke vagyok a fitneszre! A jelentés számos okot említ arra, hogy ez a hozzáállás naiv. Például néhány egészségbiztosító alacsonyabb árat kínál azoknak az ügyfeleknek, akik nyomonkövetővel bizonyítják alkalmasságát. Egy gátlástalan felhasználó eltéríthet egy jobban illő szomszéd adatait, hogy alacsonyabb arányt kapjon, vagy ellophatja az adatokat, és váltságdíjazás céljából megőrizheti.
Ha az eszköz adatai nem biztonságosak, akkor kívülről is módosíthatók. "Nem sokkal később a gyerekek csínyekkel játsszák a kocogó yuppie-t, ha néhány fokkal növelik a vérnyomását és pulzusát, " jegyzi meg a jelentés, "ezáltal a hipokondriumoknak még több dolgot kell aggódniuk." Valójában a jelentés részletezi, hogy a kutatók mennyire könnyedén tudták átvenni egy adott eszközt.
Bluetooth ígéret
Az összes tesztelt nyomkövető Bluetooth-on keresztül csatlakozik egy Android-alkalmazáshoz. Megfelelő megvalósítás esetén a Bluetooth párosítás elég biztonságos lehet. A Sony Smartband Talk SWR30, a Polar Loop és a Withings Pulse Ox a telefonnal párosítva más eszközök számára láthatatlanná válnak. A Garmin Vivosmart és a Huawei TalkBand B1 a párosításhoz hitelesítést igényel. A Jawbone Up24 és az LG Lifeband Touch FB84 tovább mennek, és párosításhoz fizikai hozzáférést igényelnek az eszközhöz.
A fennmaradó kettő, az Acer Liquid Leap és a Fitbit Charge egyáltalán nem biztosítja a BlueTooth kapcsolatot. Különösen a Fitbit Charge párosul minden, a hatótávolságon belüli Bluetooth-eszközzel, és a sima szöveges adatok egyáltalán nem védettek. A Jawbone és a Huawei termékek nem olyan szélesen nyitottak, de egynél több eszközzel párosulnak. Ami az Acer Liquid Leap-t illeti, úgy tűnik, hogy PIN-kód használatával kell hitelesítést igényelni, de a kód statikusan az eszköz nyilvános nevéből származik.
Az alkalmazás biztosítása
Az Android programok különböznek a Windows alatt futó, összeállított futtatható programoktól. Bárki bonthatja vissza az Android programot a forráskódjára a könnyen elérhető eszközök segítségével. A hacker ezt a forráskódot használhatja annak meghatározására, hogy egy fitnesz alkalmazás hogyan kommunikál a megfelelő trackerrel, és hamis alkalmazást írhat a kommunikáció átvételére.
Az intelligens Android programozók eszközöket és technikákat használnak a programkód eltakarására, megnehezítve a fordított tervezést. Kikapcsolják a naplózási funkciókat is, amelyek a program létrehozása során hasznosak, de elosztják a belső alkalmazás részleteit. És természetesen összeállítják a végső verziót a hibakereséssel.
A tesztelt termékek közül csak kettő, a Jawbone Up24 és a Sony Smartband Talk SWR30 használta e három technikát. A Huawei és a Withings kiadta a hibakeresési kódot bekapcsolt naplózással, és csak korlátozottan zavart. Az Acer és az LG Lifeband nem tették meg a fordított tervezés fóliáját.
Az AV-Test kutatói könnyen létrehoztak egy hamis alkalmazást, amely az Acer készülék adatait képes kiszívni. Sőt, még az eszköz belső rekordjait is meg tudták változtatni úgy, hogy "a napi edzés mindössze néhány másodperc alatt befejeződött anélkül, hogy izzadtságot okozott volna."
Rossz hír, jó hír
Ha gyökerezi a telefonját, akkor sokkal sebezhetőbbé válik az összesféle hackelés, beleértve a fitness tracker-hackelést is. A jó hír az, hogy az összes tesztelt eszköz helyesen tárolja az adatokat védett memóriában. A rossz hír az, hogy ha a telefon gyökerezik, akkor a memória nem lesz többé védett.
További jó hír - az összes tesztelt alkalmazás helyesen védte adatait a felhőbe történő átvitel során. Titkosították az adatokat, és HTTPS segítségével továbbították.
- A legjobb fitneszkövető 2019-re A legjobb fitneszkövető 2019-re
- Jawbone UP24 Jawbone UP24
- Withings impulzus O2 Withings impulzus O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Nyertesek és vesztesek
A teljes jelentés részleteiben részletezi azt, amit a kutatók megtanultak, és azt mutatja, hogy ezen a területen a rendelkezésre álló biztonság nagyon eltérő. A praktikus táblázat 11 fontos pontot azonosít a fitnesz-követő biztonságában. A tetején a Sony Smartband Talk SWR30 csak egyből hiányzott - nem kapcsolhatja ki a Bluetooth funkciót a nyomkövetőből. A Polar Loop ugyanezt a pontot hagyta el, és a fordított tervezés ellen sem mindent megtett, de ez még mindig nagyon jó.
A spektrum másik végén az Acer Liquid Leap a 11 pontból kilenc hiányzott. Hitelt kapott az adatok védett memóriában való megőrzéséért, és részleges jóváírást kapott a belső kommunikáció megőrzéséért; ez minden. A Fitbit Charge nyolc biztonsági elemet nem fogadott el, köztük a Bluetooth kommunikáció védelmével kapcsolatoskat.
Az AV-Test csapata hivatalosan értesítette az eladókat a megállapításokról. További vizsgálatokat terveznek, ha az eladónak volt ideje fokozni biztonsági játékát.
