FitBit 運動追蹤器在今年3月曝出的安全漏洞能夠被黑客利用。根據(jù)Fortinet的研究報告，黑客可以通過藍牙入侵FitBit，并可以侵入與FitBit連接的其他設(shè)備。不過，通過藍牙的黑客攻擊需要黑客身處在目標設(shè)備數(shù)米之內(nèi)。在FitBit與設(shè)備連接后，病毒可以在10秒時間內(nèi)被植入。

　　Fortinet研究員阿克艾爾·奧維爾(Axelle Apvrille)表示，這種感染具有持久性，即便是FitBit Flex重啟也仍舊存在。任何與FitBit連接的設(shè)備可以以木馬、軟件后臺或者其他黑客喜歡的方式遭受病毒感染。

　　“在藍牙覆蓋范圍內(nèi)，黑客可以向FitBit運動追器設(shè)備發(fā)送病毒感染包，然后剩余的‘攻擊’則會自己會完成，不需要黑客的輔助?！眾W維爾表示，"當(dāng)用戶想要將他們的運動數(shù)據(jù)與FitBit服務(wù)器同步時，運動追蹤器會對用戶的請求作出反應(yīng)，但是除了標準的信息外，這種反應(yīng) 也會遭受到受感染代碼的入侵?！?

　　奧維爾事實上在今年3月已經(jīng)針對漏洞提醒了FitBit，并表示，這家公司已經(jīng)考慮推出補丁來修復(fù)。

　　奧維爾是一名知名的病毒軟件研究員，他將在明天一場名為Hack LU會議上提供概念驗證視頻。該視頻將展示這種感染的持久性，即便是我們重新啟動與追蹤器的連接，但是大多數(shù)受感染的代碼還是存在。這也就意味著，我們將“暴露”很大的空間來讓很短的病毒軟件代碼傳播。

　　除此之外，奧維爾已經(jīng)發(fā)現(xiàn)了其他漏洞，比如黑客可以 操作用戶行走步數(shù)的數(shù)量和行走的距離，并以此來贏得勛章獎勵，因為這些勛章可以讓用戶兌換折扣和獎勵。

　　這些勛章可以通過第三方公司(比如Higi)轉(zhuǎn)化為折扣和禮品。Higi這家公司在今年4月推出了一個API，可以幫助公司接收來自可穿戴設(shè)備提供的員工健康數(shù)據(jù)。奧維爾已經(jīng)顛倒了來自FitBit追蹤器的24條信息和20條來自USB藍牙信息。

　　通訊數(shù)據(jù)設(shè)置可以分為“大型轉(zhuǎn)儲”(其中包括了行走步數(shù)和用戶活動信息)和“微型轉(zhuǎn)儲”(包括匹配，服務(wù)器回應(yīng)和設(shè)備認證)。奧維爾表示，數(shù)據(jù)傳輸通過XML和藍牙系統(tǒng)，而編碼和解碼則在可穿戴設(shè)備上完成，而非加密狗。

　　事實上，這并非首次曝光運動追蹤器安全漏洞：2013年，研究人員就利用虛假登陸信息入侵FitBit賬號，又由于寬松的身份驗證檢查，黑客很輕松地獲得獎勵。2013年，部分研究人員將FitBit與汽車輪胎捆綁，將汽車行駛到16公里時速來模擬用戶走步，以此來騙取積分和獎勵。