De populaire fitnesstrackers van Fitbit zijn volgens een malware-onderzoeker in tien seconden te infecteren met malware. De aanval kan op afstand worden uitgevoerd en vereist geen koppeling via Bluetooth. De malware is daarna erg moeilijk te verwijderen.

Onderzoeker Axelle Apvrille van beveiligingsbedrijf Fortinet deed zijn bevindingen tijdens de hack.lu-conferentie uit de doeken. Volgens Apvrille is Fitbit al sinds maart op de hoogte, maar blijft een patch uit.

Bluetooth-poort open Om een Fitbit te infecteren, is het sturen van een Bluetooth-signaal genoeg. De malware kan vervolgens gegevens uit de tracker stelen en zich verspreiden naar computers of telefoons waarmee de wearable is verbonden. Zo kunnen ook omringende Fitbits geïnfecteerd worden. De wearables gebruiken wel versleuteling van gegevens, maar blijkbaar staat de Bluetooth-zender van de apparaatjes open, waardoor de aanval mogelijk wordt.

Data en geld De onderzoeker toonde aan dat het mogelijk is om alle Fitbits te hacken, maar heeft zelf geen kwaadaardige code geschreven. Met toegang tot de wearable is het echter mogelijk om gezondheidsdata binnen te halen en de tracking te manipuleren. Dat laatste heeft ook financiële gevolgen, want Fitbit-gebruikers kunnen in de VS punten sparen voor korting bij winkelketens als Walgreens.

Fitbit zegt tegen Engadget geen indicatie te hebben dat de wearables worden misbruikt en ontkent dat de bevindingen van Apvrille een risico vormen.