Vòng Fitbit có thể bị cài malware từ xa trong chỉ 10 giây, lây tiếp sang máy tính hoặc vòng khác

Tại diễn đàn Hack.Lu sắp diễn ra, một nhóm hacker nói rằng họ sẽ trình diễn phương thức cài malware không dây lên vòng tay Fibit trong chỉ 10 giây. Theo trang Register thì đây có thể là "lần đầu tiên một malware bị cài từ xa lên một thiết bị theo dõi sức khỏe". Nhà nghiên cứu bảo mật Axelle Apvrille, người đã góp phần khám phá ra lỗ hổng này bằng chiếc Fitbit Flex, cho biết: "Kẻ tấn công gửi một gói dữ liệu bị lây nhiễm vào vòng tay nằm gần hắn ta bằng kết nối Bluetooth, sau đó toàn bộ quá trình tấn công tự diễn ra mà không cần đến hacker, và cũng không cần hacker phải ở gần đó". Malware nói trên có khả năng thay đổi dữ liệu sức khỏe mà người dùng đồng bộ với máy chủ của Fitbit để tăng chỉ số tập luyện nhằm hưởng các khuyến mãi giảm giá, hoặc nằm ẩn trong vòng tay để rồi tiếp tục lây sang laptop khi bạn kết nối Fitbit và PC. Một khi đã vào máy tính thì nó có thể mở cửa sau để tải tiếp phần mềm mã độc khác, tiến hành phá hoại, đánh cắp dữ liệu hoặc lây lan qua vòng Fitbit khác.

Một trong những điều nguy hiểm đó là người ta không nghĩ rằng vòng đeo tay của họ có khả năng lây nhiễm malware. Chứ nếu đó là một cái ổ USB bình thường thì người ta sẽ cẩn thận hơn và thậm chí cho chạy phần mềm quét virus trước khi làm những bước tiếp theo. Ngoài ra, malware cũng không bị xóa hay mất hiệu lực ngay cả khi người dùng đã khởi động lại vòng tay của mình.

Điều đáng nói là lỗ hổng này đã được các nhà nghiên cứu bảo mật thuộc nhóm của Apvrille thông báo cho Fitbit từ tận tháng 3 năm nay, tuy nhiên đến giờ lỗ hổng vẫn còn đó chứ chưa được vá.

Video hack và kiểm tra xem hack Fibit có thành công hay chưa
​

Nguồn: The Register​