Populaire fitness-tracker blijkt in tien seconden te hacken

Tegenwoordig wordt het voor hackers steeds moeilijker gemaakt om apparaten te hacken, maar dat geldt niet voor alles. De wearables van Fitbit zijn namelijk eenvoudig en snel te hacken.

Volgens The Register hebben kwaadwillenden maar tien seconden nodig om toegang te krijgen tot de Fitbit-wearables, dus de fabrikant mag de fitness-trackers best wat beter beveiligen. De wearables meten onder andere je bloeddruk en je hartslag. Met deze gegevens kunnen hackers niet zoveel, maar de Fitbit is wel op een andere manier te misbruiken.

De hack maakt gebruikt van de openbare bluetooth-connectie van de wearable. Via deze verbinding kunnen hackers malware naar de wearable sturen. Vervolgens wordt iedere PC die verbinding maakt met de Fitbit besmet. Onderzoeker Axelle Apvrille zal morgen op de Hack.Lu conferentie in Luxemburg een demonstratie geven van de hack.

UPDATE: 22-10-2015
Fitbit heeft in een reactie laten weten dat de beweringen niet juist zijn. Het is tot op heden niet mogelijk om via de fitness-tracker malware te verspreiden. Mensen die zich zorgen maken over de beveiliging van de tracker worden aangemoedigd op contact op te nemen met het bedrijf.

“As the market leader in connected health and fitness, Fitbit is focused on protecting consumer privacy and keeping data safe. We believe that security issues reported today are false, and that Fitbit devices can’t be used to infect users with malware. We will continue to monitor this issue.

Fortinet first contacted us in March to report a low-severity issue unrelated to malicious software. Since that time we’ve maintained an open channel of communication with Fortinet. We have not seen any data to indicate that it is currently possible to use a tracker to distribute malware.

We have a history of working closely with the security research community and always welcome their thoughts and feedback. The trust of our customers is paramount. We carefully design security measures for new products, monitor for new threats, and rapidly respond to identified issues. We encourage individuals to report any security concerns with Fitbit’s products or online services to security@fitbit.com. More information about reporting security issues can be found online at https://www.fitbit.com/security/.”