idNSA.id - Immersive Labs Researcher memanfaatkan kontrol privasi Fitbit yang lemah untuk membuat tampilan jam spyware yang berbahaya.
API pembuatan aplikasi yang terbuka lebar akan memungkinkan penyerang membuat aplikasi berbahaya yang dapat mengakses data pengguna Fitbit, dan mengirimkannya ke server mana pun.
Kev Breen, direktur penelitian cyber threat untuk Immersive Labs, membuat bukti konsep untuk skenario itu saja, setelah menyadari bahwa perangkat Fitbit dimuat dengan data pribadi yang sensitif.
“Pada dasarnya, [API pengembang] dapat mengirimkan informasi jenis perangkat, lokasi, dan pengguna termasuk jenis kelamin, usia, tinggi, detak jantung, dan berat badan,” jelas Breen. “Itu juga bisa mengakses informasi kalender. Meskipun ini tidak termasuk data profil PII, undangan kalender dapat memperlihatkan informasi tambahan seperti nama dan lokasi. ”
Karena semua informasi ini tersedia melalui API pengembang aplikasi Fitbit, itu adalah proses sederhana untuk membuat aplikasi untuk melakukan serangan. Upaya Breen menghasilkan tampilan jam yang berbahaya, yang kemudian dapat ia sediakan melalui Galeri Fitbit (tempat Fitbit memamerkan berbagai aplikasi pihak ketiga dan internal). Jadi, spyware tampak sah, dan meningkatkan kemungkinan diunduh.
"Menggunakan dasbor yang digunakan oleh tim pengembangan untuk melihat aplikasi, saya mengirimkan spyware kami dan segera memiliki URL kami sendiri di https://gallery.fitbit.com/details/ <redacted>," jelasnya. “Spyware kami sekarang aktif di fitbit.com. Penting untuk diperhatikan bahwa meskipun Fitbit tidak menganggap ini sebagai 'tersedia untuk unduhan publik', tautan tersebut masih dapat diakses di domain publik dan 'malware’ kami masih dapat diunduh. ”
Meningkatkan kesan legitimasi, ketika tautan diklik pada perangkat seluler apa pun, tautan itu dibuka di dalam aplikasi Fitbit dengan "semua gambar mini ditampilkan dengan sempurna seolah-olah itu adalah aplikasi yang sah," kata Breen. “Dari sana, tinggal klik cepat untuk mengunduh dan memasang, yang saya lakukan dengan Android dan iPhone.”
Breen juga menemukan bahwa API pengambilan Fitbit memungkinkan penggunaan HTTP ke rentang IP internal, yang disalahgunakannya untuk mengubah tampilan jam berbahaya menjadi pemindai jaringan primitif.
“Dengan fungsi ini, tampilan jam kami bisa menjadi ancaman bagi perusahaan,” katanya. “Ini dapat digunakan untuk melakukan apa saja mulai dari mengidentifikasi dan mengakses router, firewall, dan perangkat lain, hingga kata sandi paksa dan membaca intranet perusahaan - semuanya dari dalam aplikasi di ponsel.”
Perbaikan Fitbit
Setelah menghubungi Fitbit tentang masalah tersebut, Breen mengatakan bahwa perusahaan tersebut responsif dan berjanji untuk melakukan perubahan yang diperlukan untuk mengurangi pelanggaran di masa depan.
"Kepercayaan pelanggan kami adalah yang terpenting, dan kami berkomitmen untuk melindungi privasi konsumen dan menjaga keamanan data," kata Fitbit kepada Threatpost, dalam sebuah pernyataan. “Kami segera menanggapi ketika dihubungi oleh peneliti ini dan bekerja dengan cepat dan kolaboratif untuk mengatasi masalah yang mereka angkat. Kami tidak mengetahui adanya penyusupan data pengguna yang sebenarnya. "
Fitbit telah menambahkan pesan peringatan untuk pengguna dalam UI saat memasang aplikasi dari tautan pribadi, dan itu telah mempermudah konsumen untuk mengidentifikasi aplikasi / jam yang terpasang di perangkat seluler yang tidak terdaftar secara publik.
Breen mengatakan bahwa Fitbit juga telah berkomitmen untuk menyesuaikan pengaturan izin default selama aliran otorisasi untuk dikeluarkan secara default.
Mengenai kemudahan mengunggah aplikasi berbahaya ke galeri, “kami diberi tahu bahwa aplikasi yang dikirimkan ke Galeri Fitbit untuk diunduh publik menjalani peninjauan manual dan bahwa spyware atau aplikasi yang menyamar sebagai sesuatu yang lain kemungkinan besar akan ditangkap dan diblokir agar tidak dapat diakses. diterbitkan. "
Namun, tampilan jam berbahaya Breen masih dapat diakses publik mulai Jumat pagi. [Itu telah dihapus di kemudian hari - ed.]
“Kami mendorong konsumen untuk hanya menginstal aplikasi dari sumber yang mereka kenal dan percayai dan memperhatikan data apa yang mereka bagikan dengan pihak ketiga,” tutup Fitbit. “Kami memberi pengguna kami kendali atas data apa yang mereka bagikan dan dengan siapa.”
Fitbit tidak sendirian dalam mewakili permukaan ancaman internet-of-things. Meledaknya jumlah perangkat IoT yang online setiap hari mempersulit komunitas keamanan untuk tetap berada di depan aktor jahat.
Bulan lalu, para peneliti menyadari malware peer-to-peer Mozi botnet menyumbang 90 persen penuh lalu lintas pada perangkat IoT. Dan bug spoofing Bluetooth baru-baru ini ditemukan membuat miliaran perangkat rentan. Bahkan perangkat male chastity yang terhubung baru-baru ini ditemukan mudah diretas, membuat pengguna yang tidak curiga terjebak dan membutuhkan penyelamatan.
Saat industri lainnya menyusul, pengguna akhirlah yang perlu diberdayakan untuk mengambil tindakan pencegahan guna melindungi data mereka. Breen menawarkan saran ini; “Jika ragu, jangan instal.”
Sumber Artikel: threatpost, foto: fitbit
