Fit с Fitbit! Безопасно, а! - Fitbit Charge HR
Как часть нашего большого фитнес-трекер Мы тщательно изучили выбор популярных кандидатов из этой категории продуктов и проанализировали, насколько хороши безопасность и защита данных. Первым представителем, которого мы используем для тестирования, является популярный Charge HR Fitbit. Следующий отчет об испытаниях предназначен для выяснения того, насколько надежно защищены данные клиента от потенциальных злоумышленников и общих проблем безопасности одним из самых известных производителей в этой области.
Безопасность приложений
С мобильным приложением (тестированная версия 2.63) Fitbit, как обычно, не допускает каких-либо заметных недостатков: исходный код полностью запутан, что значительно затрудняет реверс-инжиниринг для менее опытных злоумышленников. Никакая конфиденциальная информация, такая как пароли, сертификаты и т. П., Не является жестко запрограммированной, и проверка сертификатов для обеспечения безопасности связи между приложением и облаком также представляется аккуратно реализованной. Кроме того, мы не смогли обнаружить какое-либо незащищенное хранилище каких-либо конфиденциальных данных на смартфоне - например, защищенное хранилище приложений содержит данные для аутентификации, поэтому нельзя исключать теоретическую опасность для корневых устройств, но этот факт вряд ли можно исключить. оценивается как слабое место. Приложение не выводит никакой релевантной информации, которая может быть использована злоумышленником на каком-либо другом канале, например на Android LogCat, поэтому здесь также нет причин для критики.
Местное общение
Прямая связь между трекером и смартфоном также осуществляется здесь, как обычно, через Bluetooth Low Energy. Особенно важным в этой области является адекватная аутентификация и шифрование пользователя в качестве дополнительного уровня безопасности для передаваемых данных. Таким образом, можно практически гарантировать, что записанные пользовательские данные не будут считываться или обрабатываться на этом пути передачи. Fitbit Charge HR особенно показателен в этом отношении: чистая аутентификация гарантирует, что потенциальный злоумышленник не сможет установить соединение Bluetooth с устройством и, таким образом, сможет запросить конфиденциальные данные. Но даже если связь все равно будет перехвачена (что, конечно, всегда возможно при радиосвязи), передаваемые данные также надежно зашифрованы и, таким образом, надежно защищены в большинстве возможных сценариев атаки. В тесте мы не заметили каких-либо существенных слабых мест в отношении местного общения.
Интернет-общение
Fitbit также не допускает каких-либо реальных слабостей в сфере онлайн-общения и подтверждает свое солидное впечатление. В тесте мы также не обнаружили никаких явных недостатков - все исходящие и входящие соединения, включая регистрацию, вход в систему и синхронизацию, были зашифрованы исключительно в соответствии с действующими стандартами. Даже наши стандартные тесты на возможность атак «человек посередине» не дали никаких указаний на возможные уязвимости на данный момент. Хорошая работа!
Надежно зашифрованная связь между приложением Fitbit и облаком 
Журнал неудачной попытки атаки "Человек посередине"
Конфиденциальность данных
Политика конфиденциальности Fitbit хорошо структурирована и объясняет, легко понять, какие данные записаны Fitbit и что происходит с записанными данными. Личные данные не будут переданы третьим лицам. Однако данные, которые не могут идентифицировать пользователя, могут передаваться третьим лицам, например, в статистических целях. Данные также обрабатываются в США, но они основаны на защите конфиденциальности ЕС-США и, следовательно, также на высоком уровне защиты данных.
решение суда
После того, как мы указали на некоторые серьезные уязвимости (среди прочего, в отношении отсутствия аутентификации и шифрования) для Fitbit в нашем очень первый тест в 2015 году и помогли устранить проблемы, уровень безопасности уже достиг очень хорошего уровня в то время. Тем не менее, ничего не изменилось в отрицательном направлении вплоть до этого теста: концепция все еще хорошо разработана и реализована, наиболее важные аспекты безопасности адекватно освещены, и Fitbit не должен подвергаться какой-либо критике с точки зрения защиты данных. Никаких реальных слабостей и, следовательно, полный 3-звездочный рейтинг!
