Bluetooth та інші способи злому наручників

У поточному році одним з головних бумів IT-індустрії стали гаджети, які по-російськи краще всього назвати «наручним». З одного боку, крокоміри та інші сенсори персональної фізичної активності стали все частіше робити у вигляді браслетів — така, наприклад, еволюція популярного трекера Fitbit. З іншого боку, стара гвардія теж включилася в боротьбу за людські зап'ястя, випускаючи розумні годинник: тут і Android Wear, і Apple Watch, і Microsoft Band. Сьогодні ми поговоримо про деякі небезпеки цієї моди.

image

Ні, ми зовсім не проти здорового способу життя. Ми навіть підтримуємо ідею про те, що 1 січня краще не об'їдатися салатами перед телевізором, а замість цього взяти участь в одному з новорічних забігів. Однак багато вирушать на такі забіги або тренування з модними фітнес-браслетами та іншими трекерами. Автори рекламних статей, які розхвалюють цю біжутерію, зазвичай не задаються питаннями типу «як тут набрати пароль?» або «де тут вимикач?». Між тим, ці питання розкривають цілий оберемок проблем безпеки, які несе мініатюризація наручних комп'ютерів.

Почнемо з класики. У 2013 році група фахівців з університету Флориди опублікувала опис цілого ряду недоліків популярного крокоміра Fitbit. Правда, вони досліджували стару (за нинішніми мірками) модель Fitbit Ultra, в якій носиться сенсор зв'язується зі своєю базою через бездротовий протокол ANT; база підключається через USB до десктопа або ноутбука, там зібрані дані про користувача активності потрапляють в спеціальний додаток, який пересилає дані через Інтернет хмарне сховище (свого роду соціальна мережа для фитбитофилов).

Дослідники виявили, що практично всі ланки цього ланцюжка не захищені. Зокрема, клієнтське додаток Fitbit передає на сайт власний логін і пароль, відкритим текстом, решті обмін даними з сервером відбувається з відкритого протоколу HTTP. А використовуючи підроблену USB-базу для бездротового зв'язку, можна перехоплювати дані з трекерів в радіусі декількох метрів, і навіть змінювати ці дані на самих трекерах, або в акаунтах на сервері: наприклад, одному користувачеві накрутили 12 мільйонів зайвих кроків.

В якості вирішення проблеми автори дослідження рекомендували використовувати шифрування, що захищає зв'язок кожного конкретного трекера з його інтернет-аккаунтом. Правда, при цьому було визнано, що шифрування збільшить навантаження на трекер та інші пристрої в ланцюзі.

У нових моделях Fitbit для бездротового зв'язку використовується Bluetooth. Це дозволило фахівцям з безпеки Symantec розкритикувати ціле безліч оздоровчих браслетів», що працюють на даному протоколі. Влітку 2014 року вони зібрали кілька Bluetooth-сканерів на основі міні-комп'ютерів Raspberry Pi (кожен гаджет в результаті коштував всього $75) і розставили їх в Дубліні і Цюріху. Сканери розміщували у місцях проведення спортивних заходів, окремо вивчали бізнес-центри і транспортні вузли.

image

Всього в ході експерименту було «спіймано» 563 трекера різних марок, включаючи браслети Fitbit Flex (він виявився найпопулярнішим), Jawbone, Nike FuelBand і спортивні годинник Polar. Згідно зі звітом, сканування дозволило перехоплювати не тільки унікальні ідентифікатори пристроїв і передаються персональні дані, але і іншу інформацію, що дозволяє ідентифікувати власників — наприклад, угода назва пристрою, часто співпадає з ім'ям власника.

Таким чином, стежити за переміщеннями користувача, а також за його здоров'ям, можуть і треті особи без її відома. Причому не тільки під час тренувань: багато наручні трекери просто не дозволяють вам відключити цілодобово працюючий Bluetooth (хіба що ви будете кожен раз виймати батарейку з трекера). Це означає, що потенційні грабіжники можуть дізнатися, чи знаходитеся ви в квартирі. Або навіть — наскільки міцно ви спите в даний момент.

Крім того, як відзначають дослідники, ні в одному з выслеженных трекерів передача даних не шифрувалась. Можливо, виробники таким чином просто економить заряд батареї. Правда, в інших випадках вони не економлять: то ж дослідження виявило, що кожне фітнес-додаток, зазвичай використовується в парі з трекером, передає дані в середньому на 5 різних серверів; часто буває, що додаток пов'язується більш ніж з 10 різними інтернет-адресами. Тобто, крім власного сервера для даного трекера, користувацька інформація передається ряду інших компаній.

Фахівці Symantec також виявили, що 52% додатків-трекерів взагалі не розкривають користувачеві свою політику безпеки персональних даних. Та й більшість інших, показуючи таку політику, зазвичай відбуваються загальними фразами типу «ваші дані захищені» замість конкретних відповідей: які саме дані збираються? де і скільки часу вони зберігаються? кому передаються? користувач може контролювати ці дані?

Однак повернемося до шифруванню: Bluetooth цілком дозволяє такий захист. Однак і тут можливі проблеми з безпекою. На початку грудня 2014 року Лівіу Арсена з Bitdefender повідомив, що може прочитати повідомлення, які передаються на розумні годинник Samsung Gear Live користувача смартфона, в даному випадку — Google Nexus 4. Для цього потрібно лише дізнатися шестизначний пін-код, який вводиться при першому паруванні» пристроїв через Bluetooth. За твердженням дослідника, пін-код можна знайти простим перебором (brute force), після чого можна прочитати користувальницькі SMS, чати Google Hangouts та інші приватні повідомлення, які пересилаються на годинник.

Щоправда, заяву про це спірним виявилося і викликало ряд уточнень про необхідність додаткових умов. Однак дослідник наполягає, що вже скоро з'являться бойові експлойти, які обходять захист Android Wear.

image

Чим тут можна зарадити? І Symantec, і Bitdefender знову називають заходи безпеки, які входять у суперечність із самою мініатюризацією гаджетів.

Наприклад, пропонується використовувати додаткове шифрування — або хоча б просто включити шифрування, яке вже доступне для даного виду зв'язку (Bluetooth). Однак, як було зазначено вище, це гальмує процесор і садить батарейки, які і так маленькі.

Набирати при кожній сесії надійний довгий пароль? Але для цього потрібно пристрій введення, а не просто красивий ремінець (хіба що ремінець навчиться розпізнавати відбитки пальців… які, втім, теж підробляють).

Можна використовувати для зв'язку технологію NFC, у якій менший радіус дії, що ускладнює перехоплення. Але це робить пристрій дорожче, та й у цій технології вже знайдені дірки.

Ну і нарешті, можна ще раз порадити користувачам вимикати бездротовий зв'язок, коли в цьому немає потреби — якщо тільки на вашому браслеті є такий вимикач.

Загалом, ситуація з безпекою наручних бездротових гаджетів в новому році навряд чи покращиться. Не виключено, що навіть виникне ретро-мода на дротові з'єднання (наприклад, через роз'єм для навушників). Зрештою, ніхто ще не вмирав від того, що число його кроків перелетело з одного пристрою до іншого на пару годин пізніше.

Але до речі, про вмирання. Якщо ви дивилися серіал «Homeland» — там у другому сезоні був епізод, коли терористи вирубують віце-президента США через носиться дефібрилятор з бездротовим керуванням. Деякі вважали це кіношним вигадкою. Однак навесні 2014 року журнал Wired опублікував результати дослідження Скотта Ервіна, який протестував медичне обладнання в сотні американських клінік. У ході тестів дійсно знайдені дефібрилятори, які можна взяти під контроль, використовуючи дефолтний пароль на Bluetooth-з'єднання. У колишнього віце-президента США Діка Чейні був аналогічний дефібрилятор з безпроводовим доступом, але у 2007 році цю фічу відключили з міркувань безпеки.

image

Ця історія підказує загальний напрямок, в якому будуть розвиватися проблеми з безпекою фітнес-браслетів. Поки ці пристрої є в основному лише фетишем, тобто модною, але не особливо корисною іграшкою — тому їх захист зараз мало кого турбує. Інша справа, коли вони будуть мати серйозне ставлення до охорони здоров'я, перетворюючись у щось на зразок персональної медкарти. Тоді з'являться і більш серйозні стандарти безпеки, а користувачі й держава стануть активніше вимагати від виробників дотримання цих стандартів. Правда, особливість ситуації в тому, що технологічні основи цих переносних пристроїв — разом з їх уразливими — закладаються вже зараз, у нинішній «безпечними» біжутерії. Виправляти їх потім буде набагато важче.

Автор: Олексій Андрєєв, Positive Technologies

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.