【搶先試】Fitbit Gallery先天缺陷 未經審批app可經官網下載
多得網絡安全研究人員的努力,經常對網站及應用服務的潛在漏洞保持好奇心,才可減少用家的損失,好像智能運動產品Fitbit的應用程式市場Fitbit Gallery,竟可讓有心人將惡意app上載,在未獲審批前以官方連結分享出來,用家好易中招。
上年Google宣布收購 Fitbit 大計,令品牌大受市場關注,不過礙於反壟斷法關係,交易暫時仍在美國、歐洲及澳洲等地審核中。Fitbit 的智能連動手錶由於設計精美,上班運動兩相宜,所以在港也有不少捧場客。今次 Immersive Labs 的 Cyber Threat Research 總監 Kev Breen,就對 Fitbit Gallery 的運作感到興趣,深入調查有關第三方 app 開發者在上載新 app 後,如果 app 內藏惡意程式,是否能避過偵測上架。
Kev 首先開發了一款手錶屏幕管理 app,它可以通過 Fitbit 的 API ,暗中讀取已配對手機的產品型號及作業系統版本、用家的個人資料及實時位置,以及手機日程表的行程,再上載至 C&C 控制中心。不過由於道德理由,Kev 今次未有啟動上傳功能,純粹測試是否能順利上載。
萬事俱備,當 Kev 將 app 上載至 Fitbit Gallery,很快便獲得一條「https://gallery.fitbit.com/details/*****」連結,問題就出現了,因為 Kev 發現雖然這隻 app 並未通過審批上架,但只要擁有這條連結,用家一樣可以經手機內的 Fitbit app 下載及安裝,而且因為在官方 app 內打開,所以全部畫面都會自動調校至最理想顯示效果,當用家見到連結及 app 介紹全部有官方認證,便會誤以為 app 屬於安全及可以安裝,造成不必要的損失。
Kev 將漏洞通知 Fitbit 後,對方現時已進行了一些修補,例如如彈出聲明,呼籲用家不用從私人連結下載 app、讓用家知道該 app 是否已通過審查,及在安裝畫面預設為退出。不過,Kev 發現的問題始終未有解決,只要網絡罪犯經即時通訊平台或討論區分享有問題的連結,Fitbit 用家仍可下載,現階段用家惟有自己安全自己守。