Galería de Fitbit se puede utilizar para distribuir aplicaciones maliciosas

Un investigador de seguridad descubrió que se pueden cargar aplicaciones maliciosas para dispositivos Fitbit en el dominio legítimo de Fitbit y que los usuarios pueden instalarlas desde enlaces privados.

Con algo de ingeniería social, los piratas informáticos podrían aprovechar esto y engañar a los usuarios para que agreguen aplicaciones para obtener la gran cantidad de información personal que generalmente se recopila de los sensores del dispositivo Fitbit o del teléfono.

Fitbit desarrolla dispositivos portátiles de seguimiento de la actividad física (relojes inteligentes, bandas) que brindan al usuario métricas como el número de pasos que caminó o escaló, la frecuencia cardíaca, la calidad del sueño, junto con el historial de actividad. Varias aplicaciones móviles (salud, juegos, música, utilidades) de Fitbit y su comunidad de desarrolladores se publican en la Galería oficial de Fitbit.

Gran cantidad de datos personales

Kevin Breen, director de investigación de amenazas de Immersive Labs , pudo cargar en la Galería Fitbit una aplicación maliciosa que creó específicamente para probar si eludiría las defensas de la tienda de aplicaciones.

Impulsado por la curiosidad de ver si este sería un método de ataque factible contra entornos empresariales, Breen incluyó en el código de la aplicación que podría robar detalles del dispositivo, datos corporales personales y permitiría una conexión a conexiones de la empresa para acciones mal intencionadas.

Pensó que al ser entregada desde el dominio legítimo de Fitbit, la aplicación evitaría las protecciones para instalaciones sospechosas o no autorizadas, razonamiento que resultó ser correcto.

“Básicamente, podría enviar el tipo de dispositivo y la ubicación, información del usuario como sexo, edad, altura, frecuencia cardíaca y peso, así como acceder a la información del calendario. Si bien esto no incluye datos de perfil de PII, las invitaciones de calendario podrían exponer información adicional como nombres y ubicaciones ”, señala el investigador en un informe de hoy.

Dice que todos los datos provienen del reloj Fitbit o del teléfono emparejado e incluyen ubicación GPS, frecuencia cardíaca, datos del acelerómetro, presencia corporal, así como detalles del usuario como edad, altura, sexo, frecuencia cardíaca promedio.

Además, su aplicación para Android también podría conectarse al calendario y leer eventos si la sincronización está activa. En iOS, el permiso para acceder al calendario no estaba activo de forma predeterminada.

Dado que se puede ejecutar en segundo plano, todos los datos se pueden enviar a un servidor cuando hay una conexión a Internet disponible.

El investigador dice que el kit de desarrollo de software (SDK) de Fitbit expone una API web, accesible desde la aplicación para permitir (oAuth) una conexión a ella.

No todos los usuarios llegarían tan lejos en la configuración de su aplicación, pero aquellos que completen este paso encontrarán una gran cantidad de datos privados y confidenciales disponibles: nombre, fecha de nacimiento, todo el historial de actividades, lista de amigos, horas de sueño.