Na een Bluetooth-aanval op een Fitbit, kan Fortinet-onderzoeker Axelle Apvrille trojans verspreiden naar elk apparaat dat met de sportwearable synchroniseert. Ze demonstreerde een proof-of-concept van de hack gisteren op beveiligingscongres Hack.Lu in Luxemburg. Fitbit ontkent tegenover The Register dat er een kwetsbaarheid in de polsband zit.

Malafide Bluetooth-koppeling

De onderzoeker stelt dat communicatie met de sportarmband niet is versleuteld en het daarom relatief eenvoudig is om een malafide BLE-koppeling tot stand te brengen. Volgens Apvrille infecteert de Fitbit vervolgens andere Fitbits die in de buurt komen en bijvoorbeeld de pc waar het apparaat later aan wordt gekoppeld.

Fitbit is al vaker niet zo mooi in het nieuws gekomen met beveiligingsfoutjes, met als opvallende topper de keer dat de seksuele activiteiten van dragers via Google op te vragen waren. Apvrille zelf heeft al eerder sportwearables gehackt om zo kortingsbonnen te verkrijgen die zijn gekoppeld aan sportresultaten.