Vulnerabilidad en Fitbit (CVE-2014-10374)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

15/07/2019

Última modificación:

24/07/2019

Descripción

En los dispositivos de seguimiento de actividad Fitbit, algunas direcciones determinadas nunca cambian. De acuerdo con el documento popets-2019-0036.pdf, esto conlleva a un "permanent trackability" y "considerable privacy concerns" sin una funcionalidad de anonimización accesible para el usuario. Los dispositivos, tales como Charge 2, transmiten paquetes de publicidad de Bluetooth Low Energy (BLE) con un flag TxAdd indicando direcciones aleatorias, pero las direcciones permanecen constantes. Si los dispositivos están dentro del rango de BLE en una o más ubicaciones donde un adversario ha establecido un rastreo pasivo, el adversario puede determinar si el mismo dispositivo ha ingresado en una de estas ubicaciones.

Impacto

Vector 3.x

CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:A/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 3.30 BAJA
Vector: AV:A/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno