في خبر مثير للاهتمام، يبدو أن واجهة برمجة التطبيقات (API) المفتوحة على نطاق واسع ستسمح للمهاجمين بإنشاء برامج التجسس والتطبيقات الضارة التي يمكنها الوصول إلى بيانات المستخدم عبر ساعة Fitbit الذكية، ثم إرسالها إلى أي خادم آخر.
هذا ما كشف عنه مدير أبحاث التهديدات الإلكترونية في Immersive Labs، كيف برين، مقدماً إثباتاً لمفهوم هذا السيناريو بعد أن أدرك أن أجهزة Fitbit محملة ببيانات شخصية حساسة.
بشكل أساسي، يمكن لواجهة برمجة تطبيقات المطور أن توفّر للمهاجمين نوع الجهاز والموقع ومعلومات المستخدم بما في ذلك الجنس والعمر والطول ومعدل ضربات القلب والوزن، كما يمكنه أيضاً الوصول إلى معلومات الـCalendar اليومي. وعلى الرغم من أن هذا لا يشمل بيانات الملف الشخصي ومعلومات تحديد الهوية، فإن دعوات التقويم قد تعرض معلومات إضافية إلى الخطر مثل الأسماء والمواقع.
ونظراً لأن كل هذه المعلومات متاحة عبر واجهة برمجة تطبيقات مطور تطبيق Fitbit، يصبح من السهل جداً إنشاء برنامج تجسس لتنفيذ الهجوم. إذ أدت جهود برين إلى خلق وجه خبيث للساعة، والذي تمكن بعد ذلك من إتاحته على Fitbit. وبالتالي، فإن برنامج التجسس سيبدو مشروعاً جداً بنظر المستخدم، الذي قد يقوم بتنزيل التطبيق.
أضاف برين: “عبر استخدام لوحة تحكم تستخدمها فرق التطوير لمعاينة التطبيقات، قمت بإرسال برنامج التجسس الخاص بنا وسرعان ما أصبح لدي عنوان URL خاص على https://gallery.fitbit.com/details/ <redacted>. وبذلك أصبحت برامج التجسس الخاصة بنا موجودة الآن على موقع fitbit.com. من المهم ملاحظة أنه على الرغم من أن Fitbit لا يعتبر هذا متاحاً للتنزيل العام، إلا أن الرابط لا يزال متاحاً في المجال العام والبرامج الضارة الخاصة بنا لا تزال قابلة للتنزيل”.
وبالتالي، عندما يقوم المستخدم بالنقر على الرابط على أي جهاز محمول، يتم فتحه داخل تطبيق Fitbit مع عرض جميع الصور المصغرة بشكل مثالي كما لو كان تطبيقاً شرعياً. هي مجرد نقرة سريعة للتنزيل والتثبيت قد تضع الضحية في خطر كبير، بحيث يمكن استخدام وجه الساعة لفعل كل شيء تقريباً، بدءاً من تحديد أجهزة التوجيه والجدران النارية والوصول إلى الأجهزة الأخرى المتصلة، إلى كلمات المرور العنيفة وقراءة شبكة الإنترانت الخاصة، وغيره. كل ذلك من خلال التطبيق الموصول على الهاتف.
برامج التجسس تطال Fitbit والشركة تستجيب
بعد الاتصال بـ Fitbit بشأن المشكلات، قال برين إن الشركة كانت مستجيبة وتعهدت بإجراء التغييرات اللازمة للتخفيف من الانتهاكات المستقبلية.
وبذلك أضافت Fitbit رسالة تحذير للمستخدمين داخل واجهة المستخدم عند تثبيت تطبيق من رابط خاص، فيما سهلت على المستهلكين تحديد تطبيقات الساعات المثبتة على الجهاز المحمول وغير المدرجة علناً.
تجدر الإشارة إلى أنه يجب تثبيت التطبيقات فقط من المصادر المعروفة التي تثقون بها، وأن تكونوا على دراية بالبيانات التي تشاركونها مع أطراف ثالثة. فشركة Fitbit ليست وحدها التي تمثل تهديداً، بحيث قد يصل إليكم المهاجم من أي جهاز إلكتروني ضعيف متصل بالإنترنت.