Drahtlose Infektion: Erste Malware für Fitnesstracker entwickelt

22. Oktober 2015, 14:50
7 Postings

Übertragung auf Fitbit Flex theoretisch in zehn Sekunden möglich – Schadsoftware befällt PC von Opfer

Was elektronisch ist, kann auch gehackt werden. Dass prinzipiell kein System unverwundbar gegen Angriffe ist, haben Cyberkriminelle und Forscher schon unzählige Male demonstriert. Nun gibt es auch eine erste Malware für Fitnesstracker.

Als Ziel für den Angriff dient das Sportarmband Fitbit Flex. Entwickelt wurde der Exploit unter anderem von Axelle Apvrille vom Sicherheitsunternehmen Fortinet. Sie erklärt, dass der Angriff drahtlos möglich und in zehn Sekunden durchführbar ist, berichtet The Register. Fitbit gibt allerdings Entwarnung, siehe Update am Ende des Artikels.

Tracker als Malware-Transporter

Der Beschreibung zufolge soll es ausreichen, dass ein Angreifer sich innerhalb der Bluetooth-Reichweite des Wearables befindet. Sobald die Verbindung steht, kann der Schadcode als Anhängsel normaler Kommunikation flott übermittelt werden. Einmal am Gerät, nistet er sich persistent ein und bleibt auch bei einem Neustart des Trackers aktiv.

Am Armband selbst bewirkt die Malware allerdings noch nichts. Sobald aber das Opfer es mit einem Rechner verbindet, um zu synchronisieren, könnte der Schädling diesen allerdings infizieren – etwa um Informationen abzugreifen, das System zum Absturz zu bringen und andere Fitnesstracker zu befallen, die angeschlossen werden. Der entwickelte Exploit ist ein reiner Proof-of-Concept, der dies nicht tut und nur grundsätzlich die Verwundbarkeit darlegt.

darren pauli

Fitbit bestreitet Angaben

Die Sicherheitslücken, die man nutzt, um den Fitbit Flex zu befallen, sind dem Hersteller laut Apvrille seit März bekannt, aber nach wie vor vorhanden. Fitbit selbst bestreitet, dass es möglich sei, mit dem Fitbit Flex andere Geräte zu infizieren und man von Fortinet lediglich über ein unkritisches Problem informiert worden sei.

Apvrille will den Exploit auf der derzeitigen Sicherheitskonferenz Hack.lu genauer erklären und vorführen. (gpi, 22.10.2015)

Update, 27.10.2015: Fitbit hat mittlerweile auf Berichte zu dem Malware-Experiment mit einer Stellungnahme reagiert. Dieser nach hat Apvrille bestätigt, dass es sich um ein rein theoretisches Angriffsszenario handelt. Die Geräte seien sicher und könnten in der Praxis nicht zur Übertragung von Malware genutzt werden.

  • Der Fitbit Flex ist der erste Fitnesstracker, für den eine Malware entwickelt wurde.
    foto: fitbit

    Der Fitbit Flex ist der erste Fitnesstracker, für den eine Malware entwickelt wurde.

Share if you care.