ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (10月 2024)
10, 000ステップに到達したとき、または他のフィットネストラッカーの目標に到達したとき、その成果を友人と共有したいと思いますか? 使用するデバイスによっては、個人情報を世界中の人や近くの人と共有することもあります。 AV-Test Instituteの研究者は、人気の高い9つのフィットネストラッカーのセキュリティを分析しましたが、一部の調査結果は見栄えがよくありませんでした。
つまり、Fitbit ChargeとAcer Liquid Leapは、Bluetooth接続をまったく保護しません。 つまり、データはスワイプの対象になります。 Jawbone Up24とSony Smartband Talk SWR30は、ユーザーのデータを保護する上で最高の仕事をしました。
もちろん、各会社の製品ラインの1つのアイテムだけがテストされましたが、慎重さは調査結果が全面的に適用されると仮定することを指示します。 Fitbit ChargeではなくFitbit Surgeがあるからといって、安全であるとは限りません。
誰も気にしない?
しかし、私のデータを誰が見るかは気にしません。 私は私のフィットネスを誇りに思っています! 報告書は、この態度がナイーブかもしれないかなりの数の理由を指摘しています。 たとえば、一部の健康保険会社は、トラッカーを使用してフィットネスを証明している顧客に低料金を提供しています。 悪意のないユーザーは、より適切な近隣のデータをハイジャックして、より低いレートを取得するか、データを盗んで身代金のために保持することができます。
デバイスのデータが保護されていない場合、外部から変更することもできます。 「子供たちが血圧と脈拍データを数ノッチ上げることでジョギングヤッピーのいたずらをするのはそう長くはかからないでしょう」と報告書は述べています。 実際、レポートには、研究者が1つの特定のデバイスを簡単に乗っ取ることができたことが記載されています。
Bluetooth乱交
テストされたすべてのトラッカーは、Bluetoothを使用してAndroidアプリに接続します。 適切に実装すると、Bluetoothペアリングは非常に安全になります。 Sony Smartband Talk SWR30、Polar Loop、Withings Pulse Oxは、スマートフォンとペアリングされると他のデバイスから見えなくなります。 Garmin VivosmartとHuawei TalkBand B1では、ペアリングに認証が必要です。 Jawbone Up24とLG Lifeband Touch FB84はさらに進化し、ペアリングのためにデバイスに物理的にアクセスする必要があります。
残りの2つ、Acer Liquid LeapとFitbit Chargeは、BlueTooth接続をまったく保護しません。 特にFitbit Chargeは、範囲内にあるBluetoothデバイスとペアリングされ、プレーンテキストデータはまったく保護されません。 JawboneとHuaweiの製品はそれほど広くは開放されていませんが、複数のデバイスとペアになります。 Acer Liquid Leapについては、PINコードを使用した認証が必要なようですが、コードはデバイスのパブリック名から静的に派生しています。
アプリの保護
Androidプログラムは、Windowsで実行されるコンパイル済み実行可能プログラムとは異なります。 誰でも簡単に入手できるツールを使用して、Androidプログラムを逆コンパイルしてソースコードに戻すことができます。 ハッカーは、そのソースコードを使用して、フィットネスアプリが対応するトラッカーと通信する方法を判断し、その通信を引き継ぐ偽造アプリを作成できます。
賢いAndroidプログラマーは、ツールとテクニックを使用してプログラムコードを難読化し、リバースエンジニアリングを困難にします。 また、プログラム作成時に便利ですが、内部アプリの詳細を提供するロギング機能もオフにします。 そしてもちろん、デバッグをオフにして最終バージョンをコンパイルします。
テストされた製品のうち、Jawbone Up24とSony Smartband Talk SWR30の2つだけが、これらの3つの手法をすべて使用しました。 HuaweiとWithingsは、ロギングをオンにしてデバッグコードをリリースし、限定的な難読化のみを適用しました。 AcerとLG Lifebandは、リバースエンジニアリングを阻止しようとしませんでした。
AV-Testの研究者は、Acerデバイスからデータを吸い取る可能性のある偽のアプリを簡単に作成しました。 彼らはデバイスの内部記録を変更することさえできたので、「汗をかくことなく、その日のトレーニングはほんの数秒で完了しました」。
悪いニュース、良いニュース
スマートフォンをルート化した場合、フィットネストラッカーハッキングを含むあらゆる種類のハッキングに対して非常に脆弱になります。 良いニュースは、テストされたすべてのデバイスがデータを保護されたメモリに正しく保存することです。 悪いニュースは、携帯電話をルート化した場合、そのメモリが保護されなくなることです。
より良いニュース-テストされたすべてのアプリは、クラウドへの転送中にデータを正しく保護しました。 データを暗号化し、HTTPSを使用して送信しました。
- 2019年のベストフィットネストラッカー2019年のベストフィットネストラッカー
- ジョーボーンUP24ジョーボーンUP24
- WithingsパルスO2 WithingsパルスO2
- Sony SmartBand SWR10 Sony SmartBand SWR10
勝者と敗者
完全なレポートでは、研究者が学んだことについて詳細に説明し、この製品分野で利用可能なセキュリティが大きく異なることを示しています。 便利なチャートは、フィットネストラッカーセキュリティの11の重要なポイントを特定します。 上部では、Sony Smartband Talk SWR30は1つだけ見逃していました。トラッカーからBluetoothを無効にすることはできません。 Polar Loopはその同じ点を見逃しており、リバースエンジニアリングに対して可能な限りのことをしていませんでしたが、それでもかなり良いことです。
スペクトルのもう一方の端では、Acer Liquid Leapは11ポイントのうち9ポイントを逃しました。 保護されたメモリにデータを保持することで信用を得、内部通信を保護することで部分的に信用を得ました。 それで全部です。 Fitbit Chargeは、Bluetooth通信の保護に関連するすべての要素を含む、8つのセキュリティ要素を逃しました。
AV-Testのチームは、すべてのベンダーに調査結果を正式に通知しました。 ベンダーがセキュリティゲームを強化する時間ができたら、さらに調査を計画します。
