Fitbit: possibilità di sottrarre informazioni sensibili attraverso le API.

Un'API per la creazione di #app ampiamente utilizzata consentirebbe a un utente malintenzionato di creare un'applicazione dannosa che potrebbe accedere ai dati utente Fitbit e inviarli a qualsiasi server.


Kev #Breen, direttore della ricerca sulle minacce informatiche per Immersive Labs, ha creato un proof-of-concept (#PoC) proprio per questo scenario.


"In sostanza, l'API per gli sviluppatori potrebbe inviare il tipo di dispositivo, la posizione e le informazioni sull'utente, inclusi sesso, età, altezza, frequenza cardiaca e peso", ha spiegato Breen.


Dopo aver contattato #Fitbit in merito ai problemi, Breen ha affermato che la società è stata reattiva e ha promesso di apportare le modifiche necessarie per mitigare future violazioni.


#redhotcyber #cybersecurity #hacking #cvd


https://threatpost.com/fitbit-personal-data-watch-face/160003/