ระวัง! ตัวติดตามฟิตเนสของคุณอาจรั่วไหลข้อมูลสุขภาพของคุณ

เมื่อคุณไปถึง 10, 000 ขั้นตอนหรือไปถึงเป้าหมายตัวติดตามฟิตเนสอื่น ๆ คุณต้องการแบ่งปันความสำเร็จของคุณกับเพื่อน ๆ ใช่ไหม? คุณอาจแชร์ข้อมูลส่วนตัวของคุณกับโลกหรือกับทุกคนที่อยู่ใกล้เคียงทั้งนี้ขึ้นอยู่กับอุปกรณ์ที่คุณใช้ นักวิจัยที่สถาบัน AV-Test วิเคราะห์ความปลอดภัยของอุปกรณ์ออกกำลังกายยอดนิยมเก้าตัวและผลการวิจัยบางส่วนของพวกเขาก็ไม่ได้สวย

กล่าวโดยย่อคือ Fitbit Charge และ Acer Liquid Leap ไม่ปลอดภัยในการเชื่อมต่อบลูทู ธ เลย นั่นหมายความว่าข้อมูลของคุณจะถูก swiped Jawbone Up24 และ Sony Smartband Talk SWR30 ทำงานได้ดีที่สุดในการปกป้องข้อมูลของผู้ใช้

แน่นอนว่ามีเพียงหนึ่งรายการในแต่ละสายผลิตภัณฑ์ของ บริษัท ที่ได้รับการทดสอบ เพียงเพราะคุณมีไฟลท์ Fitbit และไม่ใช่ค่า Fitbit ไม่ได้หมายความว่าคุณจะปลอดภัย

ใครสน?

แต่เดี๋ยวก่อนคุณอาจพูดว่าฉันไม่สนใจว่าใครเห็นข้อมูลของฉัน ฉันภูมิใจในฟิตเนสของฉัน! รายงานตั้งข้อสังเกตด้วยเหตุผลบางประการทัศนคตินี้อาจไร้เดียงสา ตัวอย่างเช่น บริษัท ประกันสุขภาพบางรายเสนออัตราที่ต่ำกว่าให้กับลูกค้าที่พิสูจน์ความฟิตของพวกเขาโดยใช้ตัวติดตาม ผู้ใช้ที่ไร้หลักการสามารถจี้ข้อมูลเพื่อนบ้านที่เหมาะสมกว่าเพื่อรับอัตราที่ต่ำกว่าหรือขโมยข้อมูลและเก็บไว้เพื่อเรียกค่าไถ่

หากข้อมูลของอุปกรณ์ไม่ปลอดภัยก็สามารถแก้ไขได้จากภายนอก “ ไม่นานก่อนที่เด็ก ๆ จะเล่นแผลง ๆ บนลู่วิ่งจ๊อกกิ้งโดยการเพิ่มความดันโลหิตและข้อมูลชีพจรของเขาด้วยรอยหยักเพียงไม่กี่ครั้ง” รายงานตั้งข้อสังเกต จริง ๆ แล้วรายงานมีรายละเอียดว่านักวิจัยสามารถจัดการกับอุปกรณ์ใดอุปกรณ์หนึ่งได้ง่ายเพียงใด

Bluetooth Promiscuity

เครื่องมือติดตามที่ได้รับการทดสอบทั้งหมดใช้บลูทู ธ เพื่อเชื่อมต่อกับแอพ Android เมื่อใช้งานอย่างถูกต้องการจับคู่บลูทู ธ จะค่อนข้างปลอดภัย Sony Smartband Talk SWR30, Polar Loop และ Withings Pulse Ox จะมองไม่เห็นอุปกรณ์อื่น ๆ เมื่อจับคู่กับโทรศัพท์ของคุณ Garmin Vivosmart และ Huawei TalkBand B1 ต้องการการรับรองความถูกต้องสำหรับการจับคู่ Jawbone Up24 และ LG Lifeband Touch FB84 ทำงานได้ไกลขึ้นโดยต้องมีการเข้าถึงอุปกรณ์เพื่อจับคู่

ส่วนที่เหลืออีกสองอย่างคือ Acer Liquid Leap และ Fitbit Charge ไม่ได้เชื่อมต่อกับบลูทู ธ ได้อย่างปลอดภัย โดยเฉพาะอย่างยิ่งค่า Fitbit จะจับคู่กับอุปกรณ์บลูทู ธ ที่อยู่ในระยะและข้อมูลข้อความล้วนไม่ได้รับการคุ้มครองเลย ผลิตภัณฑ์ Jawbone และ Huawei ไม่เปิดกว้างนัก แต่จะจับคู่กับอุปกรณ์มากกว่าหนึ่งเครื่อง สำหรับ Acer Liquid Leap ดูเหมือนว่าต้องมีการรับรองความถูกต้องโดยใช้รหัส PIN แต่รหัสนั้นได้มาจากชื่อสาธารณะของอุปกรณ์แบบคงที่

การรักษาความปลอดภัยของแอป

โปรแกรม Android นั้นแตกต่างจากโปรแกรมปฏิบัติการที่คอมไพล์แล้วซึ่งทำงานภายใต้ Windows ทุกคนสามารถถอดรหัสโปรแกรม Android กลับไปเป็นซอร์สโค้ดได้โดยใช้เครื่องมือที่มีอยู่ แฮ็กเกอร์สามารถใช้ซอร์สโค้ดนั้นเพื่อกำหนดว่าแอพฟิตเนสจะสื่อสารกับตัวติดตามที่เกี่ยวข้องได้อย่างไรและเขียนแอปปลอมเพื่อควบคุมการสื่อสารดังกล่าว

นักเขียนโปรแกรมที่ฉลาดของ Android ใช้เครื่องมือและเทคนิคเพื่อทำให้รหัสโปรแกรมสับสนทำให้การวิศวกรรมย้อนกลับเป็นเรื่องยาก พวกเขายังปิดคุณสมบัติการบันทึกที่เป็นประโยชน์ระหว่างการสร้างโปรแกรม แต่ให้รายละเอียดแอปภายใน และแน่นอนพวกเขารวบรวมรุ่นสุดท้ายด้วยการปิดการดีบัก

มีเพียงสองผลิตภัณฑ์ที่ผ่านการทดสอบ Jawbone Up24 และ Sony Smartband Talk SWR30 ซึ่งใช้เทคนิคทั้งสามนี้ Huawei และ Withings เปิดตัวรหัสการดีบักเมื่อเปิดการบันทึกและใช้การทำให้งงงวยอย่าง จำกัด เท่านั้น Acer และ LG Lifeband ไม่พยายามทำลายวิศวกรรมย้อนกลับ

นักวิจัยของ AV-Test ได้สร้างแอพปลอมที่สามารถดูดข้อมูลจากอุปกรณ์ Acer ได้อย่างง่ายดาย พวกเขายังสามารถเปลี่ยนระเบียนภายในของอุปกรณ์เพื่อให้ "การออกกำลังกายของวันเสร็จสมบูรณ์ในเวลาเพียงไม่กี่วินาทีโดยไม่ทำให้เหงื่อออก"

ข่าวดีข่าวดี

หากคุณรูทโทรศัพท์ของคุณคุณจะมีความเสี่ยงต่อการแฮ็คทุกชนิดรวมถึงการติดตามการออกกำลังกาย ข่าวดีก็คืออุปกรณ์ที่ผ่านการทดสอบทั้งหมดจัดเก็บข้อมูลของพวกเขาในหน่วยความจำที่ได้รับการป้องกันอย่างถูกต้อง ข่าวดีก็คือว่าถ้าคุณรูทโทรศัพท์ของคุณแล้วหน่วยความจำนั้นจะไม่ได้รับการปกป้องอีกต่อไป

ข่าวดีเพิ่มเติม - แอปทั้งหมดทดสอบการปกป้องข้อมูลของพวกเขาอย่างถูกต้องระหว่างทางไปยังคลาวด์ พวกเขาเข้ารหัสข้อมูลและส่งข้อมูลโดยใช้ HTTPS

• เครื่องติดตามการออกกำลังกายที่ดีที่สุดสำหรับ 2019 เครื่องติดตามการออกกำลังกายที่ดีที่สุดสำหรับ 2019
• กระดูกขากรรไกร UP24 กระดูกขากรรไกร UP24
• Withings Pulse O2 Withings Pulse O2
• Sony SmartBand SWR10 Sony SmartBand SWR10

ผู้ชนะและผู้แพ้

รายงานฉบับเต็มมีรายละเอียดเกี่ยวกับสิ่งที่นักวิจัยได้เรียนรู้และแสดงให้เห็นว่าการรักษาความปลอดภัยที่มีอยู่ในผลิตภัณฑ์นี้แตกต่างกัน แผนภูมิที่ใช้งานง่ายระบุจุดสำคัญ 11 ประการสำหรับความปลอดภัยของตัวติดตามฟิตเนส ที่ด้านบน Sony Smartband Talk SWR30 พลาดไปเพียงอันเดียวคุณไม่สามารถปิดการใช้งานบลูทู ธ จากตัวติดตามได้ Polar Loop พลาดจุดเดียวกันและไม่ได้ทำทุกสิ่งที่เป็นไปได้สำหรับวิศวกรรมย้อนกลับ แต่ก็ยังค่อนข้างดี

ที่ปลายอีกด้านของคลื่น Acer Liquid Leap พลาดเก้าจาก 11 คะแนน มันได้รับเครดิตสำหรับการเก็บข้อมูลในหน่วยความจำที่ได้รับการป้องกันและเครดิตบางส่วนเพื่อป้องกันการสื่อสารภายใน นั่นคือทั้งหมดที่ Fitbit Charge พลาดองค์ประกอบด้านความปลอดภัยแปดประการรวมถึงองค์ประกอบที่เกี่ยวข้องกับการปกป้องการสื่อสาร Bluetooth

ทีมงานของ AV-Test ได้ทำการแจ้งผู้ขายทั้งหมดอย่างเป็นทางการ พวกเขาวางแผนการตรวจสอบเพิ่มเติมเมื่อผู้ค้ามีเวลาที่จะก้าวขึ้นเกมความปลอดภัยของพวกเขา