视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
当您达到10, 000步或达到其他健身追踪器目标时,您想与朋友分享成就,对吗? 根据您使用的设备,您可能还会与世界或附近的每个人共享您的私人信息。 AV-Test Institute的研究人员分析了九种流行的健身追踪器的安全性,但其中一些发现并不理想。
简而言之,Fitbit Charge和Acer Liquid Leap根本无法确保其蓝牙连接的安全。 这意味着您的数据可能会被刷卡。 Jawbone Up24和Sony Smartband Talk SWR30在保护用户数据方面做得最好。
当然,每个公司的产品线中只有一项经过了测试,但是出于谨慎考虑,假设这些发现适用于所有领域。 仅仅因为您有Fitbit Surge而没有Fitbit Charge并不意味着您就安全。
谁在乎?
但是,您可能会说,等等,我不在乎谁能看到我的数据。 我为自己的健康感到骄傲! 该报告指出了这种态度幼稚的许多原因。 例如,某些健康保险公司向使用追踪器证明其健康状况的客户提供更低的价格。 不道德的用户可能会劫持更适合邻居的数据以获得较低的费率,或者窃取数据并保留以进行勒索。
如果设备的数据不安全,则可以从外部进行修改。 报告指出:“不久之后,孩子们就可以通过将血压和脉搏数据增加几个档次来对慢跑的雅皮嬉戏恶作剧,从而给下软骨症带来更多烦恼。” 实际上,该报告详细介绍了研究人员如何轻松接管一台特定设备。
蓝牙混杂
所有经过测试的跟踪器均使用蓝牙与Android应用连接。 正确实施后,蓝牙配对会非常安全。 与手机配对后,其他设备将看不到Sony Smartband Talk SWR30,Polar Loop和Withings Pulse Ox。 Garmin Vivosmart和Huawei TalkBand B1需要进行身份验证才能配对。 Jawbone Up24和LG Lifeband Touch FB84走得更远,需要对设备进行物理访问以进行配对。
剩余的两个Acer Liquid Leap和Fitbit Charge根本无法固定蓝牙连接。 特别是Fitbit Charge可以与范围内的任何蓝牙设备配对,并且纯文本数据完全不受保护。 Jawbone和Huawei产品的开放程度不是很高,但它们可以与多个设备配对。 至于Acer Liquid Leap,它似乎需要使用PIN码进行身份验证,但是该代码是从设备的公共名称静态衍生而来的。
保护应用程式
Android程序不同于Windows下运行的已编译可执行程序。 任何人都可以使用现成的工具将Android程序反编译回其源代码。 黑客可以使用该源代码来确定Fitness应用程序如何与其对应的跟踪器通信,并编写一个仿冒应用程序来接管该通信。
聪明的Android程序员使用工具和技术来混淆程序代码,从而使逆向工程变得困难。 它们还会关闭日志记录功能,这些功能在程序创建过程中很有用,但会泄露内部应用程序的详细信息。 当然,他们会在调试关闭的情况下编译最终版本。
仅两个测试产品Jawbone Up24和Sony Smartband Talk SWR30使用了这三种技术。 华为和Withings在打开日志记录的情况下发布了调试代码,并且仅进行了有限的混淆处理。 宏cer和LG Lifeband并没有试图挫败逆向工程。
AV-Test的研究人员轻松创建了一个伪造的应用程序,该应用程序可以从Acer设备中吸收数据。 他们甚至设法更改了设备的内部记录,以便“一天的锻炼就在几秒钟内完成,而且不费吹灰之力。”
坏消息,好消息
如果您已经扎根手机,则很容易受到各种黑客攻击,包括健身追踪器黑客攻击。 好消息是所有经过测试的设备都将其数据正确存储在受保护的内存中。 坏消息是,如果您已经扎根手机,则该内存将不再受保护。
更多的好消息-所有经过正确测试的应用程序都可以保护其传输到云中的数据。 他们加密了数据,并使用HTTPS进行了传输。
- 2019年最佳健身追踪器2019年最佳健身追踪器
- 颚骨UP24颚骨UP24
- Withings脉冲O2 Withings脉冲O2
- 索尼SmartBand SWR10索尼SmartBand SWR10
赢家和输家
完整的报告详细介绍了研究人员的确切知识,并显示该产品领域中的可用安全性差异很大。 方便的图表确定了健身追踪器安全性的11个重要点。 在顶部,Sony Smartband Talk SWR30只错过了一个-您无法从跟踪器禁用蓝牙。 Polar Loop错过了同一点,并且也没有尽一切可能进行逆向工程,但这仍然相当不错。
在另一端,宏cer Liquid Leap错过了11分中的9分。 它因将数据保存在受保护的内存中而获得信誉,并因维护内部通信而获得部分信誉; 就这样。 Fitbit Charge错过了八个安全元素,包括与保护蓝牙通信有关的所有元素。
AV-Test的团队将发现的结果正式通知了所有供应商。 一旦供应商有时间加强他们的安全性游戏,他们计划进一步调查。
