Компания Fitbit выпустила внеплановое обновление безопасности для напольных весов Aria. Как сообщил эксперт Google Project Zero Тевис Орманди, причиной этого стали серьезные проблемы с безопасностью выявленные им в весах, имеющих возможность интернет-подключения.
В течение ближайших нескольких суток обновление будет автоматически загружено на все смарт-весы Aria. Кроме того, у пользователей появится возможность запустить процесс обновления в ручном режиме.
Пока что исследователь не раскрывает подробную информацию о выявленных проблемах. Однако сообщается, что уязвимости являлись критическими. Компания Fitbit сначала ограничилась коротким замечанием о том, что злоумышленники, используя проблемы, могли незаметно заполучить неограниченный доступ. Чуть позже представители Fitbit рассказали репортерам The Register, что Тевис Орманди в феврале текущего года сообщил Fitbit о уязвимостях в весах Aria. В устройстве задействовались статические идентификаторы для DNS-запросов, вследствие чего злоумышленник мог обмануть смарт-весы и запустить процесс их синхронизации с посторонним сервером.
Весы Aria на самом деле осуществляют синхронизацию с серверами Fitbit и сохраняют в профиле пользователя числовое значение его веса, а также сведения о соотношении жира к общему индексу массы тела. Злоумышленники вряд ли бы заинтересовались этими значениями, однако смарт-весы можно было бы использовать как отправную точку для входа в систему, чтобы получить доступ к более важной информации.