Fitbit Aria Wi-Fi Smart Scale: Unterschied zwischen den Versionen

K (change project name)
(half translation)
Zeile 11: Zeile 11:
 
[[Category:Software]]
 
[[Category:Software]]
  
== Beschreibung ==
+
== description==
=== Waage ===
+
=== the scale ===
Die WLAN Waage von fitbit.com misst Gewicht und Körperfett. Es können Accounts angelegt werden und die Daten über deren Webseite abgerufen werden. Die Daten werden nach jeder Messung über WLAN zu fitbit.com gesendet. Die Nutzer werden anhand von Gewicht und eventuell Körperfett identifiziert.
+
The scale offered by fitbit.com measures weight and body fat. The data is then submitted to their website and can be further analysed. It is possible to use one scale for multiple users including different accounts on fitbit.com website. The scale identifies the users by their weight and maybe by their body fat.
  
===Der Plan===
+
===the master plan===
Wir wollen einen eigenen Server für die Waage bereit stellen, um so die Daten nach belieben auszuwerten und eventuelle Beschränkungen der Waage zu umgehen und zu erweitern. So können wir mehrere Benutzer erlauben und die Daten z.B. über eine eigenes Webinterface korrigieren (Nutzer-Zuordnung). Außerdem werden dann die persönlichen Daten nicht mehr ins Internet geschickt. Interesse bestand weiterhin an dem Analysieren der gesendeten Daten... :)
+
We want to create an own service to analyse the data in our own way. With that we're able to bypass limits and to extend the functionality. We are maybe able to allow more users and are able to identify the users in a better way. Additionally the data is not transmitted any more unencrypted to a public website (fitbit.com is password protected). One main interest is also the reversing of the protocol and maybe more...
  
== Analyse ==
+
== analysis ==
=== Dumps ===
+
=== request (Aria to fitbit.com)===
* HTTP POST an http://www.fitbit.com/scale/upload
+
* The data is transmitted with HTTP POST to http://www.fitbit.com/scale/upload
* Im Normalfall 62 Bytes Payload:
+
* Usually it consists of 62 bytes of binary data in little endian format
* Little Endian
+
** In case there is no connection, the data is stored inside the scale and transmitted in a bulk when it is used next time
  
 
  +---+---+---+---+---+---+---+---+  +---+---+---+---+---+---+---+---+  
 
  +---+---+---+---+---+---+---+---+  +---+---+---+---+---+---+---+---+  
Zeile 38: Zeile 38:
 
  +---+---+---+---+---+---+---+---+  +---+---+---+---+---+---+
 
  +---+---+---+---+---+---+---+---+  +---+---+---+---+---+---+
  
* Timestamp 2: Ende der Messung
+
==== explanation====
* Timestamp 1: Beginn der Messung
+
* Timestamp 2: Measurement end in unix time
* Body fat 1 : Angezeigtes Körperfett in % * 1000
+
* Timestamp 1: Measurement start in unix time
* Body fat 2 : Vielleicht physikalischer Messwert (Widerstand)
+
* Body fat 1: Displayed body fat in per mil
* Body fat 3 : Wert ähnlich Body fat 1
+
* Body fat 2: Maybe physical measurement value (resistance, electrical impedance)
 +
* Body fat 3: Value similiar to Body fat 1
  
=== Erklärung ===
+
=== response (fitbit.com to Aria) ===
/* TODO */
+
==== explanation ====
 
+
== own tools ==
== Own tools ==
 
 
/* to be crafted */
 
/* to be crafted */
  
== Attacks ==
+
== attacks ==
===Fatify local target===
+
===gather information===
 +
/* MAC - what is it, what's the idea to use it */
 +
First results showed that... /* continue with dumping DB */. This is a base attack used later again.
 +
===fatify local target===
 
Das geht relativ einfach: Mit tcpdump oder Wireshark die Daten eines Ziels nach der Messung mitschneiden. Da meistens WPA im WLAN zum Einsatz kommt, empfiehlt es sich hier am Router oder danach die Daten mitzusniffen. Anschließend einfach den Request klonen und ein eigenes Gewicht oder Körperfett einsetzen. Es kann sein, dass fitbit die Anzahl der Messungen beschränkt und das Gewicht der Person in einem gewissen Limit (Durschschnitt) liegen muss.
 
Das geht relativ einfach: Mit tcpdump oder Wireshark die Daten eines Ziels nach der Messung mitschneiden. Da meistens WPA im WLAN zum Einsatz kommt, empfiehlt es sich hier am Router oder danach die Daten mitzusniffen. Anschließend einfach den Request klonen und ein eigenes Gewicht oder Körperfett einsetzen. Es kann sein, dass fitbit die Anzahl der Messungen beschränkt und das Gewicht der Person in einem gewissen Limit (Durschschnitt) liegen muss.
===Fatify the world===
+
===fatify the world===
 
In der Theorie ist es möglich alle fitbit User etwas schwerer zu machen. Die Waage authentifiziert sich mit der MAC Adresse, zusätzlich gibt es eine xx Bit Userkennung. Die MAC Adresse (Herstellerkennung + Wert) kann man per Brute-Force testen, die Benutzerkennung macht den Aufwand aufgrund der vielen Bits aber sehr langwierig. Da der fitbit Server allerdings auch auf Gäste antwortet und zwar mit der kompletten Userliste inkl. der Benutzerkennung, kann man einfach einen Request als Gast (Wert 0) absetzen. Als Antwort schickt der Server die Kennungen zurück und man kann sich seine eigenen Requests zusammensetzen - für alle fitbit User weltweit ;-)
 
In der Theorie ist es möglich alle fitbit User etwas schwerer zu machen. Die Waage authentifiziert sich mit der MAC Adresse, zusätzlich gibt es eine xx Bit Userkennung. Die MAC Adresse (Herstellerkennung + Wert) kann man per Brute-Force testen, die Benutzerkennung macht den Aufwand aufgrund der vielen Bits aber sehr langwierig. Da der fitbit Server allerdings auch auf Gäste antwortet und zwar mit der kompletten Userliste inkl. der Benutzerkennung, kann man einfach einen Request als Gast (Wert 0) absetzen. Als Antwort schickt der Server die Kennungen zurück und man kann sich seine eigenen Requests zusammensetzen - für alle fitbit User weltweit ;-)

Version vom 7. November 2012, 03:51 Uhr

Crystal Clear action run.png
Fitbit Aria Wi-Fi Smart Scale

Status: beta

Fitbit cat img.jpg
Beschreibung Fitbit WLAN Scale Reverse Engineering
Autor: architekt, krisha
PayPal Spenden für Fitbit Aria Wi-Fi Smart Scale

description

the scale

The scale offered by fitbit.com measures weight and body fat. The data is then submitted to their website and can be further analysed. It is possible to use one scale for multiple users including different accounts on fitbit.com website. The scale identifies the users by their weight and maybe by their body fat.

the master plan

We want to create an own service to analyse the data in our own way. With that we're able to bypass limits and to extend the functionality. We are maybe able to allow more users and are able to identify the users in a better way. Additionally the data is not transmitted any more unencrypted to a public website (fitbit.com is password protected). One main interest is also the reversing of the protocol and maybe more...

analysis

request (Aria to fitbit.com)

  • The data is transmitted with HTTP POST to http://www.fitbit.com/scale/upload
  • Usually it consists of 62 bytes of binary data in little endian format
    • In case there is no connection, the data is stored inside the scale and transmitted in a bulk when it is used next time
+---+---+---+---+---+---+---+---+   +---+---+---+---+---+---+---+---+ 
|     Ident     |      ???      |   |          MAC          |  ???  >
| 02  00  00  00| 5C  00  00  00|   | 00  1D  C9  XX  XX  XX| 1C  00>
+---+---+---+---+---+---+---+---+   +---+---+---+---+---+---+---+---+
>       |      ???      |    Timestamp 2    |      ???      |  ???  >
> 00  00| 21  00  00  00| 30  4D      90  50| 01  00  00  00| 02  00>
+---+---+---+---+---+---+---+---+   +---+---+---+---+---+---+---+---+
>       |      ???      |    Weight in g    |  Timestamp 1  | User  >
> 00  00| 00  00  00  00| 06  FE      00  00| 1C  4D  90  50| 00  00>
+---+---+---+---+---+---+---+---+   +---+---+---+---+---+---+---+---+
>  ID   |  Body fat 1   |    Body fat 2     |  Body fat 3   |        
> 00  00| 00  00  00  00| 00  00      00  00| 00  00  00  00|        
+---+---+---+---+---+---+---+---+   +---+---+---+---+---+---+

explanation

  • Timestamp 2: Measurement end in unix time
  • Timestamp 1: Measurement start in unix time
  • Body fat 1: Displayed body fat in per mil
  • Body fat 2: Maybe physical measurement value (resistance, electrical impedance)
  • Body fat 3: Value similiar to Body fat 1

response (fitbit.com to Aria)

explanation

own tools

/* to be crafted */

attacks

gather information

/* MAC - what is it, what's the idea to use it */ First results showed that... /* continue with dumping DB */. This is a base attack used later again.

fatify local target

Das geht relativ einfach: Mit tcpdump oder Wireshark die Daten eines Ziels nach der Messung mitschneiden. Da meistens WPA im WLAN zum Einsatz kommt, empfiehlt es sich hier am Router oder danach die Daten mitzusniffen. Anschließend einfach den Request klonen und ein eigenes Gewicht oder Körperfett einsetzen. Es kann sein, dass fitbit die Anzahl der Messungen beschränkt und das Gewicht der Person in einem gewissen Limit (Durschschnitt) liegen muss.

fatify the world

In der Theorie ist es möglich alle fitbit User etwas schwerer zu machen. Die Waage authentifiziert sich mit der MAC Adresse, zusätzlich gibt es eine xx Bit Userkennung. Die MAC Adresse (Herstellerkennung + Wert) kann man per Brute-Force testen, die Benutzerkennung macht den Aufwand aufgrund der vielen Bits aber sehr langwierig. Da der fitbit Server allerdings auch auf Gäste antwortet und zwar mit der kompletten Userliste inkl. der Benutzerkennung, kann man einfach einen Request als Gast (Wert 0) absetzen. Als Antwort schickt der Server die Kennungen zurück und man kann sich seine eigenen Requests zusammensetzen - für alle fitbit User weltweit ;-)