Pulseiras fitness são facilmente hackeadas

Uma investigação da Kaspersky Lab revelou que é muito fácil aceder aos dados contidos numa fitness band, ou pulseira de monitorização de atividade física. Os cibercriminosos podem contornar processos de autenticação e deitar a mão a informações do utilizador.

A grande maioria destas pulseiras tecnológicas que registam a atividade física do seu utilizador recorre a sistemas de ligação Bluetooth LE para que possam acoplar-se ao smartphone. Esta associação é realizada sem que sejam introduzidos códigos de acesso, visto que muitas pulseiras desta estirpe não possuem ecrãs ou teclados.

Diz a Kaspersky Lab que, através de um mero código Android SDK, a mente cibercriminosa pode sem grande esforço aceder às informações armazenadas na “maior parte dos modelos de pulseiras de fitness que existem no mercado”.

A equipa de investigação concebeu uma aplicação que automaticamente procurava pulseiras eletrónicas de registo de atividade física, sendo que logo nas primeiras seis horas conseguiu ligar-se a 54 dispositivos diferentes.

Os dispositivos mais detetados pela aplicação da Kaspersky Lab eram das marcas Jawbone e FitBit. Contudo, na “rede” foram também apanhados alguns da Microsoft, da Nike, da Polar e da Quans.

A empresa diz que estas manobras cibernéticas são possíveis mesmo apesar de duas características que deveriam abonar a favor da segurança dos aparelhos e das informações neles contidas: o raio de ação das pulseiras não é superior a 50 metros e não permitem ligações a mais do que um smartphone em simultâneo.

“A realidade é que um cibercriminoso têm grandes possibilidades de se ligar a um destes dispositivos seja porque a pulseira não está sincronizada a qualquer smartphone previamente ou porque o hacker bloqueia essa conexão e a substitui por outra com o seu terminal”, explica a Kaspersky Lab.

Mas ligar um smartphone a uma pulseira é só um terço do trabalho. O próximo passo do cibercriminoso será acionar o sistema de receção de notificações. Muitos destes wearables requerem apenas que o utilizador pressione um botão na pulseira para verificar a notificação, algo que pode ser facilmente conseguido se o aviso for reiniciado até que o utilizador, pela força do cansaço, o pressione.

Depois, o acesso aos dados da pulseira é tarefa fácil, segundo a Kaspersky Lab, e embora não sejam muitas as informações armazenadas nestes acessórios – nem muito sensíveis –, são guardadas numa plataforma cloud aproximadamente de hora em hora, pelo que todos os lados que nela estiverem albergados estarão expostos ao cibercriminoso, qual lobo entre ovelhas.