Fitbit 用戶小心 官網下載 app 可中毒

Fitbit 用戶小心 官網下載 app 可中毒

2020-10-15 Off By Genki

運動手表品牌 Fitbit 被發現自家 App store 存在漏洞,網絡罪犯可上載惡意手表專用程式到官方網站,再用官方連結分享,誤導用戶下載使用,暗中偷取用戶的個人資料、日程,以及即時位置!

先來了解Fitbit app的審批過程,當有開發者成功開發app,就可以利用官方網站,將app上載至Fitbit Gallery並等待Fitbit方面審查,獲批後便可在Fitbit Gallery內上架供用戶下載。當app上載至Fitbit Gallery後,即使未經審批,開發者也會得到一條https://gallery.fitbit.com/details/*****的儲存連結,而漏洞便出現在這個地方。Immersive Labs網絡安全專家Kev Breen發現,只要有這條連結,任何用戶也可即時下載,不論它是否已獲准上架。

為了發掘漏洞,他設計了一隻Watch/Face app並上載至Fitbit Gallery,這款app內藏惡意功能,例如可讀取用戶的個人資料、心率及運動記錄,甚至可利用手表的衞星定位功能,掌握用戶的實時位置。上傳後Kev即時獲得一條Fitbit Gallery的儲存連結,並成功透過它下載及安裝自己開發的惡意程式。

有了這個漏洞,Kev認為入侵的成功指數極高,因為無論是應用程式的儲存位置及下載連結,都有Fitbit「加持」,用戶很容易相信它已被官方審批而下載使用。Fitbit得悉漏洞後已進行一些修補,例如會顯示該app是否已獲審批,及呼籲用戶一定要用Fitbit專用app下載。不過,這些改變明顯堵塞不了根本問題,因為用戶依然可透過連結下載未經審批的app,相信有待Fitbit方面重新設計上載機制,才能真正封堵這個漏洞,Fitbit用戶要自己小心。

詳情: https://bit.ly/33ZWxJZ