ホーム > ブログ記事 > フィットネストラッカーから、スマホが乗っ取られる
 

フィットネストラッカーから、スマホが乗っ取られる

2016-03-19 8:06 PM

IOT (Internet of things) のデバイスは毎日増え続けています。もう、人間の生活にインターネットが繋がってない部分を探すほうが難しいくらいの世の中になりました。そんな中、最近取り沙汰されている、人気のあるフィットネストラッカーにもサイバー脆弱性が入っています。

 

個人情報を盗まれるフィットネストラッカー

 

IEEE Center for Secure Designのレポートによりますと、フィットネストラッカーには、しばしば、SQLインジェクションとCSRF攻撃に利用できる脆弱性が入っています。

 

フィットネストラッカーのデバイスによって、保管されているデータの種類、利用されているソフトウェア、機能などは異なっていますが、どんなフィットネストラッカーでも、主な機能として、何らかのインターフェース(主にブルートゥース)を通って、他のデバイスにデータを送信する機能が含まれています。犯罪者は、いつもこの機能に着目をしています。

 

フィットネストラッカーにある脆弱性を悪用すると、SQLインジェクション、フィシングとCSRF攻撃、バッファオーバーランなどの攻撃が可能になりますので、犯罪者はそのデバイスを動かなくする(例えば、OSの成りすましアップデートの送信を使う)こともできますし、そのデバイスが繋がっている主なデバイス(例えば、スマホ・タブレット・ノートPC)に対する攻撃もできるようになります。

 

1つの例として、FitBit Flexというフィットネストラッカーがあります。サイバーセキュリティ技術会社(Fortinet)の専門家の言葉を借りますと、『犯罪者はFitBit Flexのシステムも、そこと繋がっているその他のデバイスも、数秒でマルウェアソフトで感染できます』 という実験結果もあります。

 

要するに、フィットネストラッカーの利用者は、スマホの情報を泥棒されるということです。

 

最近、フィットネストラッカーの各メーカは、デバイスのデザインをどんどん進化させていますが、セキュリティに対しては強化が足りていると言えません。一般ユーザーは、なかなかそのことに気づくことができませんし、少しでも安いほうがいいと思ってしまうのがユーザー心理です。便利なものを利用している背景には、いつもリスクがあることを、ユーザー一人一人が考えなければならないのが、今のIOT時代なのだと思います。

 

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。