Fitbit是一款可以記錄你鍛煉和運動量的手環設備，很受人們歡迎。但新的研究表明，Fitbit設備抵御不了一個簡單的惡意攻擊。更重要的是，惡意程序可以在用戶不知情的情況下發送到Fitbit設備上同時惡意程序可以感染同步數據采集的計算機上。

短時間內便可上傳惡意程序

Fortinet公司的研究人員Axelle Apvrille發現了這種攻擊行為，并寫了關于這方面的報告。

最初的攻擊行為發生在藍牙，完成時間只需要10秒。黑客只需要在接近目標的發送惡意程序，然后等待目標連接到他或她的Fitbit設備到計算機上。當惡意程序上傳到Fitbit設備時候就會在重啟之后留存下來。

一旦完成，該攻擊的第二階段開始后，惡意程序可以感染計算機建立后門，上傳木馬病毒或者其它惡意程序。

Fortinet公司的研究人員Axelle Apvrille同時表示攻擊者可以在藍牙可接受范圍內發送惡意程序包給受害者而其它過程都可以在惡意程序執行過程中完成，對于攻擊者來說其它攻擊在不在附近并不是很重要。

開放的不加密藍牙成安全隱患

當受害者希望與服務器同步Fitbit設備的健身數據或更新他們的個人資料，健身跟蹤器響應查詢，但除了標準的消息，其余執行的都是惡意程序操作。

Apvrille接受采訪時說，Fortinet雖然加密，但是很明顯藍牙是開放的。所以給攻擊者造就了機會。

Fitbit正式推出了三款可穿戴設備，分別是Fitbit Charge、Fitbit Charge HR和Fitbit Surge。主要可以記錄基本的健身數據，例如走過的步數、距離和臺階數量，睡覺時佩戴還會監測睡眠習慣，同時也有來電提醒的功能，該手環一次充電能使用7天。

演示視頻