비디오: [ì¤íì¸í°ë·°]'ê°ìí ì¤í 리ì§'(IP SAN)ì ê´í 5ê°ì§ ê¶ê¸ì¦ (십월 2024)
10, 000 걸음에 도달하거나 다른 피트니스 트래커 목표에 도달하면 성취 한 것을 친구와 공유하고 싶습니까? 사용하는 기기에 따라 개인 정보를 전 세계 또는 주변의 모든 사람과 공유 할 수도 있습니다. AV-Test Institute의 연구원은 9 개의 인기있는 피트니스 추적기의 보안을 분석했지만 그 결과 중 일부는 좋지 않았습니다.
간단히 말해 Fitbit Charge와 Acer Liquid Leap은 Bluetooth 연결을 전혀 보호하지 않습니다. 즉, 데이터가 스 와이프 될 수 있습니다. Jawbone Up24와 Sony Smartband Talk SWR30은 사용자 데이터를 보호하는 데 최선을 다했습니다.
물론 각 회사의 제품 라인에서 단 하나의 아이템 만 테스트되었지만, 결과는 전반적으로 적용된다고 가정합니다. Fitbit Surge가 있고 Fitbit Charge가 아니라고해서 안전하다는 의미는 아닙니다.
누가 신경 쓰나요?
그러나 내 데이터를 볼 수있는 사람은 상관하지 않습니다. 내 운동이 자랑 스럽다! 보고서는 이러한 태도가 순진한 몇 가지 이유를 지적합니다. 예를 들어, 일부 건강 보험 회사는 트래커를 사용하여 체력을 증명하는 고객에게 더 낮은 요금을 제공합니다. 파렴치한 사용자는 더 적합한 이웃의 데이터를 가로 채서 더 낮은 요금을 받거나 데이터를 훔쳐 몸값을 유지할 수 있습니다.
장치의 데이터가 보안되지 않으면 외부에서 수정 될 수 있습니다. "어린이들이 혈압과 맥박 데이터를 약간의 노치로 늘려 조깅 유피에 장난을 치르기까지는 그리 오래 걸리지 않을 것입니다." 실제로이 보고서는 연구원들이 특정 장치를 얼마나 쉽게 인수 할 수 있었는지 자세히 설명합니다.
블루투스 무차별
테스트를 거친 모든 트래커는 Bluetooth를 사용하여 Android 앱에 연결합니다. 제대로 구현되면 Bluetooth 페어링이 매우 안전 할 수 있습니다. Sony Smartband Talk SWR30, Polar Loop 및 Withings Pulse Ox는 휴대 전화와 페어링되면 다른 장치에서 보이지 않습니다. Garmin Vivosmart 및 Huawei TalkBand B1은 페어링을위한 인증이 필요합니다. Jawbone Up24 및 LG Lifeband Touch FB84는 더 나아가 페어링을 위해 장치에 물리적으로 액세스해야합니다.
나머지 두 가지 인 Acer Liquid Leap과 Fitbit Charge는 BlueTooth 연결을 전혀 보호하지 않습니다. 특히 Fitbit Charge는 범위 내에있는 모든 블루투스 기기와 페어링되며 일반 텍스트 데이터는 전혀 보호되지 않습니다. Jawbone 및 Huawei 제품은 크게 공개되지는 않지만 둘 이상의 장치와 페어링됩니다. Acer Liquid Leap의 경우 PIN 코드를 사용한 인증이 필요한 것 같지만 코드는 장치의 공개 이름에서 정적으로 파생되었습니다.
앱 보안
Android 프로그램은 Windows에서 실행되는 컴파일 된 실행 프로그램과 다릅니다. 누구나 쉽게 사용할 수있는 도구를 사용하여 Android 프로그램을 소스 코드로 다시 컴파일 할 수 있습니다. 해커는 해당 소스 코드를 사용하여 피트니스 앱이 해당 추적기와 통신하는 방식을 결정하고 해당 통신을 대신 할 위조 앱을 작성할 수 있습니다.
영리한 Android 프로그래머는 도구와 기술을 사용하여 프로그램 코드를 난독 처리하여 리버스 엔지니어링을 어렵게 만듭니다. 또한 프로그램 생성 중에는 유용하지만 내부 앱 세부 정보를 제공하는 로깅 기능을 해제합니다. 물론 디버깅을 끈 상태에서 최종 버전을 컴파일합니다.
테스트 된 제품 중 Jawbone Up24와 Sony Smartband Talk SWR30 중 두 가지만이이 세 가지 기술을 모두 사용했습니다. Huawei와 Withings는 로깅이 설정된 디버그 코드를 출시했으며 제한된 난독 화만 적용했습니다. Acer와 LG Lifeband는 역 엔지니어링을 포기하지 않았습니다.
AV-Test의 연구원들은 Acer 장치에서 데이터를 빨아 들일 수있는 가짜 앱을 쉽게 만들었습니다. 그들은 심지어 장치의 내부 기록을 변경하여 "땀을 흘리지 않고 하루의 운동을 몇 초만에 완료했습니다."
나쁜 소식, 좋은 소식
휴대 전화를 근절 한 경우 피트니스 추적기 해킹을 포함하여 모든 종류의 해킹에 훨씬 더 취약합니다. 좋은 소식은 모든 테스트 된 장치가 데이터를 보호 된 메모리에 올바르게 저장한다는 것입니다. 나쁜 소식은 휴대 전화를 루팅하면 메모리가 더 이상 보호되지 않는다는 것입니다.
더 좋은 소식은 테스트 한 모든 앱이 클라우드로 전송되는 데이터를 올바르게 보호한다는 것입니다. 그들은 데이터를 암호화하고 HTTPS를 사용하여 전송했습니다.
- 2019 년 최고의 피트니스 트래커 2019 년 최고의 피트니스 트래커
- 턱뼈 UP24 턱뼈 UP24
- Withings 펄스 O2 Withings 펄스 O2
- Sony SmartBand SWR10 소니 SmartBand SWR10
승자와 패자
전체 보고서는 연구원들이 정확히 알게 된 내용에 대해 자세히 설명하며이 제품 영역에서 사용 가능한 보안은 매우 다양합니다. 편리한 차트는 피트니스 트래커 보안을위한 11 가지 중요한 포인트를 나타냅니다. 상단에서 Sony Smartband Talk SWR30은 단 하나도 빠졌습니다. 추적기에서 Bluetooth를 비활성화 할 수 없습니다. Polar Loop도 같은 요점을 놓 쳤고 리버스 엔지니어링에 대해 가능한 모든 것을하지는 않았지만 여전히 좋습니다.
스펙트럼의 다른 쪽 끝에서, Acer Liquid Leap은 11 점 중 9 점을 놓쳤습니다. 내부 통신 보호를 위해 데이터를 보호 된 메모리에 보관하고 일부는 신용을 확보 한 것으로 나타났습니다. 그게 다야. Fitbit Charge는 Bluetooth 통신 보호와 관련된 보안 요소를 포함하여 8 가지 보안 요소가 누락되었습니다.
AV-Test 팀은 공식적으로 모든 공급 업체에 조사 결과를 알 렸습니다. 공급 업체가 보안 게임을 강화할 시간이되면 추가 조사를 계획합니다.
