Une analyse de sécurité des moniteurs d’activité |A Security Analysis of Wearable Health Trackers

(English version below)

Alors que l’horloge approchait de la nouvelle année, vous avez certainement, comme des millions de personnes, décidé de prendre de bonnes résolutions concernant votre condition physique. Pour vous aider à tenir vos résolutions, vous avez certainement décidé d’acheter un moniteur d’activité ou un bracelet intelligent. Ces bracelets d’activité sont des systèmes intégrés capables de collecter diverses statistiques sur l’individu qui le porte. Ces statistiques sont mises à sa disposition via des interfaces mobiles telles que des applications sur téléphone ou des interfaces web. Certaines compagnies qui produisent ces moniteurs synchronisent les données récoltées sur l’application vers un service infonuagique afin d’offrir des analyses utiles. Ces appareils sont capables de collecter des informations sur l’activité physique, le sommeil, les habitudes alimentaires, la fréquence cardiaque, l’état mental, etc. Par exemple, le bracelet Fitbit est capable de comptabiliser le nombre de pas, les calories, le nombre de marches montées et surveiller la qualité du sommeil.

Néanmoins, il existe des inquiétudes concernant le type de données collectées et comment elles circulent: l’accès à de telles informations personnelle peut révéler beaucoup de choses sur la vie privée des utilisateurs. Par exemple, la possibilité de localiser silencieusement et à distance un bracelet permettrait de surveiller les mouvement et activités des personnes.

Dans cette étude, Rohit Goyal et ses collègues de l’Université technique du Danemark ont analysé les caractéristiques de sécurité et de confidentialité de deux moniteurs d’activité, Jawbone UP Move et Fitbit Charge. Les auteurs se sont intéressés à trois éléments: le moniteur d’activité, l’application mobile et le service infonuagique. Les deux moniteurs utilisent le protocole Bluetooth Low Energy (LE) pour synchroniser les données du capteur avec l’application mobile. L’application mobile synchronise avec le service infonuagique à travers la Wi-Fi ou une connexion internet lorsque disponible.

Les auteurs ont identifié et analysé les vulnérabilités et brèches de confidentialité potentielles pour chacun des éléments de chaque moniteur. Pour les deux moniteurs, le protocole Bluetooth LE est l’un des vecteurs d’attaques le plus important, considérant les vulnérabilités inhérentes du protocole. En téléchargeant une application sur la plateforme d’application Android, les auteurs ont démontré que toutes les données entreposées peuvent être facilement accessible. Enfin, en ce qui concerne la communication entre l’application mobile et le service infonuagique, les auteurs ont été capable de l’intercepter ce qui leur a donné accès à toutes les données collectées par le moniteur. La principale conclusion de cette étude est que l’accès aux données d’un moniteur d’activité ne requière pas de logiciel ou de matériel couteux. Cela peut être facilement réalisable à partir de n’importe quel appareils possédant le Bluetooth ou la Wi-Fi.

La confidentialité et la sécurité sont essentielles afin de protéger les droits des utilisateurs. Bien que l’on se soit concentrés sur des solutions techniques pour résoudre ces problèmes, il est important de rappeler aux utilisateur de prendre des actions afin de se protéger telles que lire les politiques de confidentialité attachées à leur appareil, mais aussi utiliser un mot de passe fort lors de l’utilisation d’applications mobiles et avoir recours à un alias comme identifiant de l’appareil.

Citer: Goyal, R., Dragoni, N. et Spognardi, A. (2016). Mind the tracker you wear: a security analysis of wearable health trackers. SAC’16 Proceedings of the 31st Annual ACM Syposium on Applied Computing, 131-136

Source: https://dl.acm.org/citation.cfm?doid=2851613.2851685


As the clock was ticking towards the New Year, you might have been like the millions of other people in the world who set a fitness goal for your 2019 resolution. To help you keep your resolutions, you’ve decided to buy a fitness tracker, smart bands or any wearable tracking devices. These trackers are embedded systems able to collect diverse statistics about the wearer, which are put at its disposal via mobile interfaces, like apps on smartphones and web interface. Some companies that produce those trackers synchronize the data from mobile app to the cloud service and offer useful analytics. Fitness trackers can collect information about your physical activity, sleeping pattern, eating habits, heart rate, mental states etc. For example, the Fitbit wristband is able to track steps, calories, floors climbed and sleep quality.

There are important concerns about the type of data collected and how it flows: the access to such personal data can reveal a lot of private information. For instance, the ability to remotely and silently track a wristband can be maliciously exploited to monitor people movement, or their activity.

In this study, Rohit Goyal and his colleagues from the Technical University of Denmark analyzed the security and privacy features of two wearable fitness trackers, namely Jawbone UP Move and Fitbit Charge. Their study focused on three main components: the tracker device, the mobile app and the cloud service. Both tracker devices use Bluetooth Low Energy (LE) protocol to synchronize the sensor data with the mobile application. The mobile app syncs the data to the cloud service over Wi-Fi when an Internet connection is available.

The authors identified and analyzed potential vulnerabilities and privacy breaches in each component for each fitness tracker. For both trackers, the Bluetooth LE protocol was one of the most important attack vectors, considering the inherent vulnerabilities in the Bluetooth protocol. By downloading particuliars apps on the Android platform app, the authors showed that all the stored data can be easily accessed. Finally regarding the communication between the mobile app and the cloud, the authors were able to intercept it, which gave them access to all the data collected by the trackers. The key finding of the study is that accessing the data of a fitness tracker does not require any expensive or dedicated software/hardware. This can be done with any device with Bluetooth and Wi-Fi capabilities.
Privacy and security are essential in order to protect users’ rights. As much as the focus has been on finding technological solution to solve those issues, it is important to remind users to read the privacy policies attached to their device and to take action to protect their data such as having a strong password when using the apps or using an alias for the device.

Cite: Goyal, R., Dragoni, N. and Spognardi, A. (2016). Mind the tracker you wear: a security analysis of wearable health trackers. SAC’16 Proceedings of the 31st Annual ACM Syposium on Applied Computing, 131-136

Source: https://dl.acm.org/citation.cfm?doid=2851613.2851685

Leave a Reply

Your email address will not be published. Required fields are marked *