La questione è iniziata lo scorso mese di Marzo quando Fortinet, compagnia specializzata nella sicurezza, ha contattato Fitbit per segnalare una possibile vulnerabilità che avrebbe potuto permettere ad un malintenzionato di craccare le loro smartband allo scopo di infettare un personal computer connesso per la sincronizzazione.
Dopo che Fortinet ha mostrato un video che provava la vulnerabilità Bluetooth, Fitbit ha affermato che attualmente non esiste un codice malevolo in grado di infettare i fitness tracker, essere trasferito su un PC e da li avviarsi autonomamente per creare danni.
@AaronIsSocial you don’t need physical access, but you need to be close (bluetooth range). It does not matter if it is paired or not.
— Axelle Ap. (@cryptax) 21 Ottobre 2015
Tra l’altro le dimensioni del codice malevolo non potrebbero superare i 17 bytes, quindi la stessa Fortinet non ritiene la vulnerabilità particolarmente grave tanto da averla definita “low-security issue”. Inoltre un eventuale malintenzionato dovrebbe essere molto vicino a chi indossa il bracciale Fitbit da craccare, vista la limitata portata del Bluetooth.
Sembra quindi che i possessori di un dispositivo Fitbit possano dormire sonni tranquilli, visto che non sono presenti in rete software in grado di sfruttare la vulnerabilità, e probabilmente Fitbit andrà a risolverla con i prossimi aggiornamenti.