Flera av armbanden använder en autentiseringsmetod som gör det möjligt för en tredjepartsleverantör att ansluta till enheten, utföra kommandon och – i några fall – hämta data från den. Allt utan användarens vetskap. I de armband som Roman Unuchek granskade var denna data begränsad till antalet steg som användaren hade tagit den senaste timmen. I framtiden kan dock aktivitetsarmbanden ha kapacitet att samla in annan sorts information, exempelvis känslig medicinsk data om användaren.

Säkerhetsbristen som Roman Unuchek upptäckte är möjlig genom det sätt som armbandet kopplas ihop med en smartphone. Med hjälp av en icke-auktoriserad app kan en Androidmobil med Android 4.3 eller senare kopplas ihop med armband från vissa leverantörer. För att skapa en anslutning krävs att armbandets ägare bekräftar sammankopplingen genom att trycka på en knapp på armbandet. Eftersom de flesta armband saknar skärm kan angriparen enkelt utnyttja detta till sin fördel: när armbandet vibrerar för att be ägaren bekräfta sammankopplingen kan denne inte veta om det är anslutningen till sin egen mobil eller någon annans som godkänns.

– Angriparen kan inte komma över verkligt kritiskt data som lösenord eller kreditkortsnummer. Men granskningen belyser att det finns sätt för angripare att utnyttja eventuella misstag som utvecklarna har gjort. Dagens aktivitetsarmband är förhållandevis simpla men nästa generations armband kommer att kunna hantera mer personlig information. Därför är det viktigt att redan nu börja tänka på säkerheten hos produkterna innan man börjar utveckla dem, säger Roman Unuchek, säkerhetsforskare på Kaspersky Lab.