Pulseiras de fitness: uma nova fonte de
informação para os cibercriminosos
Lisboa, 27 de Abril de 2015

Os analistas da Kaspersky Lab realizaram um teste para comprovar se as braceletes
de actividade física podiam ser atacadas por hackers

A conclusão é que é relativamente simples aceder a um destes dispositivos e
conseguir passar a autentificação para aceder aos dados
Com a chegada do bom tempo e o início da operação bikini, são muitas as pessoas que começam
a fazer exercício físico e querem planificar a sua rotina, ao mesmo tempo que obtêm dados como
as calorias queimadas, a distância percorrida ou as pulsações… Por isso, as pulseiras de fitness já
se tornaram num aliado ideal para muitos desportistas que as usam nos seus treinos diários e as
ligam aos seus smartphones para comprovar os progressos realizados.
Existe uma ampla variedade deste tipo de wearables e várias aplicações relacionadas que
permitem sincronizá-los com o telemóvel, mas serão seguros estes dispositivos? Será o seu
legítimo dono o único a ter acesso à informação que estas pulseiras recolhem? Poderão ser
atacadas por hackers? Todas estas perguntas foram feitas pelos analistas da Kaspersky Lab, que,
através de um método simples, quiseram pô-las à prova.
A maioria delas usa a tecnologia Bluetooth LE para se ligar ao smartphone, o que significa que o
modo de conexão é diferente ao usado habitualmente por este sistema e não dispõe de passwords
para configuração, já que a maioria destas pulseiras de actividade física não conta com ecrã ou
teclado. Além disso, este tipo de braceletes usa o sistema GATT (Generic Attribute Profile), que
significa que estes dispositivos têm um conjunto de serviços, cada um com características
específicas.
Graças ao teste realizado, descobriu-se que, com um simples código Android SDK, é possível
aceder à maior parte dos modelos de pulseiras de fitness que existem no mercado. Em alguns
casos, não foi possível obter os dados das características específicas de cada serviço, no entanto,
fazendo o teste com dispositivos de outras marcas, foi possível ler estes descritores que, segundo
os analistas da Kaspersky, é provável que correspondam aos dados dos utilizadores.
Depois de bem-sucedida a ligação a estes dispositivos, o passo seguinte foi criar uma aplicação
para procurar braceletes de actividade física de forma automática. Os resultados não se fizeram
esperar. Em pouco mais de seis horas já havia uma ligação feita a 54 dispositivos distintos. Em
concreto, durante a experiência, o analista da Kaspersky conseguiu ligar-se, sobretudo, a
dispositivos das marcas Jawbone e FitBit, mas também da Nike, Microsoft, Polar e Quans.
Tudo apesar de duas supostas limitações que estas braceletes têm: o seu raio de acção que,
supostamente é de 50 metros (sendo na verdade muito menor), e um aparelho não se pode
ligar a mais do que um telefone de cada vez.
A realidade é que um cibercriminoso têm grandes possibilidades de se ligar a um destes
dispositivos seja porque a pulseira não está sincronizada a qualquer smartphone previamente o
porque o hacker bloqueia essa conexão e a substitui por outra com o seu terminal. Por sorte,
conseguir sincronizar um telemóvel com uma pulseira não significa que se possa aceder
directamente aos dados dos utilizadores. Normalmente, é necessária uma autentificação feita a
partir da própria bracelete para receber notificações.
Não obstante, não é difícil conseguir esta autentificação. Habitualmente basta que o utilizador
pressione um botão da pulseira quando esta vibre, algo que se pode conseguir reiniciando a
notificação até que o pressione. Uma vez superado este passo, aceder aos dados do dispositivo é
fácil. E, apesar de hoje em dia estas braceletes de fitness não conterem muita informação e a que
têm é guardada na nuvem a cada hora, aproximadamente, o risco é evidente.
Após a experiência, as conclusões a que chegaram os analistas da Kaspersky Lab é que é
relativamente simples piratear uma destas pulseiras e, apesar de no momento não revelarem
informação demasiado útil para os cibercriminosos, no futuro, com dispositivos mais sofisticados, é
possível que usem estes dados em seu proveito.
Sobre a Kaspersky Lab
Kaspersky Lab é a maior empresa privada de soluções de segurança endpoint do mundo. A companhia está entre os 4
maiores fabricantes de soluções de segurança endpoint do mundo*. Ao longo dos seus mais de 15 anos de história, a
Kaspersky Lab continuou sempre a inovar em segurança TI e oferece soluções de segurança eficazes para grandes
empresas, PMES e consumidores. Actualmente, a Kaspersky Lab opera em quase 200 países e territórios de todo
mundo, oferecendo protecção a mais de 300 milhões de utilizadores. Mais informação em www.kaspersky.pt.
A empresa situa-se na quarta posição do Ranking Mundial de Fabricantes de Segurança Endpoint (por receitas) da IDC em 2011. Esta
classificação foi publicada no relatório de IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares (IDC
#235930, July 2012)”. O relatório classifica os fabricantes de software de acordo com as receitas obtidas com a venda de soluções de
segurança endpoint em 2011.
Para mais informação, contactar:
LANÇA PALAVRA
Ana Paula
Tel. +351 243107197
Mov: +351 962543653
E-mail: [email protected]
Kaspersky Lab Iberia
Vanessa González
Directora de Comunicação
Tel. +34 91 398 37 52
E-mail [email protected]
© A informação contida no presente comunicado pode ser modificada sem aviso prévio. As únicas garantias dos produtos e serviços da
Kaspersky Lab ficam estabelecidos doravante nas declarações de garantia expressa que acompanham esses produtos e serviços.
Nenhum dos conteúdos da presente poderá ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza pelos
erros técnicos ou editoriais ou omissões presentes no texto.