«Лаборатория Касперского» обнаружила уязвимости в фитнес-браслетах

Александр Панасенко 27 Марта 2015 - 12:47

...

Получившие в последнее время широкое распространение фитнес-трекеры, собирающие информацию о физической активности пользователя, оказывается, могут передавать данные не только своему непосредственному владельцу. Такая особенность спортивных браслетов была обнаружена «Лабораторией Касперского» в ходе изучения способов их взаимодействия со смартфонами.

Как выяснилось, метод аутентификации подключаемого устройства, реализованный в нескольких популярных фитнес-браслетах, дает сторонним людям возможность незаметно подсоединиться к смартфону, выполнить ряд команд и даже извлечь хранимые в гаджете данные. Все это возможно в том случае, если смартфон работает на базе операционной системы Android версии 4.3 и выше, а также имеет неавторизованное приложение для синхронизации со спортивным браслетом.

Как известно, для установления соединения между фитнес-трекером и смартфоном пользователь должен подтвердить это действие, нажав соответствующую кнопку на браслете. А поскольку большинство этих гаджетов сегодня не имеет экранов, злоумышленники могут легко обходить это необходимое условие: ведь когда фитнес-браслет вибрирует, запрашивая подтверждение соединения со смартфоном, пользователь не может знать, идет ли речь о его собственном телефоне или о каком-то другом.

Спортивные браслеты, которые изучала «Лаборатория Касперского», при синхронизации со смартфоном передавали лишь информацию о количестве шагов, сделанных пользователем. Однако трекеры следующего поколения будут собирать гораздо больше данных о физическом состоянии человека, а значит риск утечки конфиденциальной информации может заметно увеличиться.

«Конечно, подобные риски не кажутся столь существенными в сравнении с угрозой утечки действительно критически важной информации, например, паролей или данных банковских карт. Однако проведенный нами эксперимент говорит о том, что популярные электронные устройства имеют незакрытые уязвимости, которыми могут воспользоваться злоумышленники. Сегодняшнее поколение фитнес-трекеров пока умеет немногое: в основном считать шаги и следить за фазами сна. Но в будущем эти гаджеты будут умнее. Именно поэтому уже сегодня стоит озаботиться вопросами обеспечения их безопасности, в частности разработать защищенный способ синхронизации спортивных браслетов и смартфонов», – отмечает Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 09:45

Шпионские программы Программы слежения Домашние пользователи

287 расширений для Chrome с 37 млн шпионили за пользователями

Исследователи безопасности обнаружили 287 расширений для Google Chrome, которые, по их данным, тайно отправляли данные о посещённых пользователями сайтах на сторонние серверы. Суммарно такие расширения были установлены около 37,4 млн раз, что равно примерно 1% мировой аудитории Chrome.

Команда специалистов подошла к проверке не по описаниям в магазине и не по списку разрешений, а по фактическому сетевому поведению.

Для этого исследователи запустили Chrome в контейнере Docker, пропустили весь трафик через MITM-прокси и начали открывать специально подготовленные URL-адреса разной длины. Идея была простой: если расширение «безобидное» — например, меняет тему или управляет вкладками — объём исходящего трафика не должен расти вместе с длиной посещаемого URL.

А вот если расширение передаёт третьей стороне полный адрес страницы или его фрагменты, объём трафика начинает увеличиваться пропорционально размеру URL. Это измеряли с помощью собственной метрики. При определённом коэффициенте расширение считалось однозначно «сливающим» данные, при более низком — отправлялось на дополнительную проверку.

Работа оказалась масштабной: на автоматическое сканирование ушло около 930 процессорных дней, в среднем по 10 минут на одно расширение. Подробный отчёт и результаты опубликованы в открытом репозитории на GitHub, хотя авторы намеренно не раскрыли все технические детали, чтобы не облегчать жизнь разработчикам сомнительных аддонов.

Среди получателей данных исследователи называют как крупные аналитические и брокерские экосистемы, так и менее известных игроков. В отчёте фигурируют, в частности, Similarweb, Big Star Labs (которую авторы связывают с Similarweb), Curly Doggo, Offidocs, а также ряд других компаний, включая китайские структуры и небольших брокеров.

Проблема не ограничивается абстрактной «телеметрией». В URL могут содержаться персональные данные, ссылки для сброса паролей, названия внутренних документов, административные пути и другие важные детали, которые могут быть использованы в целевых атаках.

Пользователям советуют пересмотреть список установленных расширений и удалить те, которыми они не пользуются или которые им незнакомы. Также стоит обращать внимание на разрешение «Читать и изменять данные на всех посещаемых сайтах» — именно оно открывает путь к перехвату URL.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!