Ваш фитнес-трекер подвергает вашу безопасность риску?

Считать, откуда наши данные будут вытекать, — трудная задача. Мы предпринимаем необходимые меры предосторожности на всех наших устройствах, устанавливая антивирусное программное обеспечение, проводя сканирование на наличие вредоносных программ и, мы надеемся, дважды и трижды проверяем электронные письма на наличие подозрительных действий. Это лишь некоторые из возможных векторов атак, ожидающих нас.

Исследователи в области безопасности обнаружили, что, помимо наших «обычных» устройств, одной из новейших форм технологий может быть предоставление злоумышленникам неожиданного, но легкодоступного угла для кражи наших личных данных. Фитнес-трекеры недавно попали в центр внимания безопасности после того, как в техническом отчете была отмечена серия серьезных недостатков безопасности в их проектах, теоретически позволяющих потенциальным злоумышленникам перехватывать ваши личные данные.

Фатальные недостатки фитнеса

Фитнес-трекеры увидели беспрецедентный рост популярности

на протяжении последних нескольких лет. Только в 4-м квартале 2015 года объем продаж в годовом исчислении вырос на 197% — с 7,1 млн до 21 млн единиц. Аналитики рынка Parks Associates оценивают, что мировой рынок фитнес-трекеров будет продолжать расти, увеличившись с 2 миллиардов долларов в 2014 году до 5,4 миллиардов долларов в 2019 году. Это значительный рост, указывающий на количество пользователей, потенциально подвергающихся воздействию этого ранее неизвестного вектора атаки.

Фитнес-трекеры включены в исследование №

Канадская некоммерческая исследовательская организация Open Effect и междисциплинарная исследовательская лаборатория Citizen Lab изучили восемь наиболее популярных на сегодняшний день носимых устройств для фитнеса: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2 , Mio Fuse, Withings Pulse O2 и Xiaomi Mi Band.

Комбинированный отчет об исследованиях стремился обнаружить шаги, которые технологические компании предпринимают для защиты и обеспечения безопасности ваших данных. Хотя мы знаем и понимаем, что фитнес-трекеры будут собирать данные о пульсе, шагах, калориях и сне, исследователи изучили, что происходит с этими данными, когда они находятся в руках разработчиков устройств.

Какие данные отправляются на удаленный сервер? Как технологические компании защищают данные? С кем это делится? Как компании на самом деле используют информацию?

Основные выводы включали:

  • Семь из восьми фитнес-устройств отслеживания испускают постоянные уникальные идентификаторы (адрес управления доступом к среде Bluetooth), которые могут подвергать их владельцев долгосрочному отслеживанию их местоположения, когда устройство не сопряжено и не подключено к мобильному устройству.
  • Приложения Jawbone и Withings могут быть использованы для создания поддельных записей фитнес-группы. Такие поддельные записи ставят под сомнение надежность использования данных фитнес-трекера в судебных делах и страховых программах.
  • Приложения Garmin Connect (iPhone и Android) и приложение Withings Health Mate (Android) имеют уязвимости в системе безопасности, которые позволяют несанкционированному третьему лицу читать, записывать и удалять пользовательские данные.
  • Garmin Connect не использует базовые методы обеспечения безопасности передачи данных для своих приложений iOS или Android и, следовательно, подвергает информацию о пригодности для наблюдения или вмешательства.

Постоянные уникальные идентификаторы

Носимая технология излучает постоянный сигнал Bluetooth. Будь то смарт-часы или фитнес-трекер, этот сигнал используется для постоянной связи с вашим смартфоном. Их связь с внешним устройством поддерживается с использованием MAC-адреса (Media Access Control).

, однозначно идентифицирующий фитнес-трекер.

Пример MAC-адреса

В контексте фитнес-трекеров обеспечение безопасности личных данных требует, чтобы эти адреса были рандомизированы, чтобы гарантировать, что пользователь не может быть отслежен и идентифицирован по MAC-адресу. Маяки Bluetooth, которые все чаще используются в торговых центрах для создания целевой мобильной рекламы, могут отслеживать и профилировать эти устройства с помощью одного MAC-адреса (их также может создавать любой, имеющий подходящий компактный компьютер).

). Действительно, из протестированных устройств только Apple Watch рандомизировали свой MAC-адрес «примерно с 10-минутным интервалом», чтобы защитить личность своего пользователя.

После регистрации постоянного MAC-адреса местоположение пользователя может быть реально отслежено от маяка к маяку. Если торговый центр решит собирать информацию о местонахождении пользователя во время посещения магазина, данные могут быть проданы маркетинговому агентству или другому брокеру данных без предварительного уведомления пользователя. Если один брокер данных может приобрести несколько профилей, информация может быть сопоставлена ​​для создания сложных целевых рекламных профилей, активируемых каждый раз, когда пользователь (и его уникальный идентификатор устройства) входит в здание.

Приложения так же плохи

Каждый фитнес-трекер имеет свое собственное приложение для мониторинга, которое собирает множество данных, связанных с фитнесом, и переводит их в красивое визуальное отображение действий пользователей. Тем не менее, сами приложения обнаружили утечку личной информации в нескольких местах передачи.

Протоколы безопасности фитнес-трекера

Например, можно было бы ожидать, что любая передача личных данных будет зашифрована с использованием HTTPS по крайней мере

; Garmin Connect не смог этого сделать, оставив пользовательские данные пассивно доступными для прослушивания.

Аналогичным образом, хотя Bellabeat Leaf и Withings Health Mate взаимодействуют с удаленными серверами по протоколу HTTPS, обе компании отправляют пользователям простые текстовые сообщения электронной почты для подтверждения своих учетных данных, оставляя пользователей открытыми для атак типа «человек посередине». Любой злоумышленник, обладающий практическими знаниями о Bellabeat или Withings API, может получить доступ к широкому спектру личной информации о фитнесе за считанные минуты. Эту форму атаки также можно использовать для передачи вредоносных или ложных данных на носимый или пользовательский телефон.

Фальсификация данных

Три из наблюдаемых приложений для отслеживания фитнеса «были уязвимы для мотивированного пользователя, создававшего ложно сгенерированные данные о пригодности для своей учетной записи», что заставило серверы компании принимать поддельные данные. Open Effect и Citizen Lab создали несколько приложений, предназначенных для того, чтобы заставить серверы фитнес-трекера принимать ложную информацию, в скором времени появятся Bellabeat LEAF, Jawbone UP и Withings Health Mate.

«Мы отправили запрос в Jawbone о том, что наш тестовый пользователь сделал десять миллиардов шагов за один день»

Их применение равномерно распределяет временные интервалы шагов в фиксированные интервалы в течение желаемого периода времени, создавая искусственное распределение шагов. Исследователи пришли к выводу, что более сложный подход «случайным образом распределит шаги для создания более реалистичного вида распределения» для дальнейшего обнаружения побега.

Почему это проблема?

Фитнес-трекеры могут поддерживать постоянный поток сбора личных данных

, Распространенные векторы сбора данных включают в себя шаги, сердцебиение, режимы сна, подъем, геолокации, качество действий и виды действий.

Некоторые из фитнес-трекеров рекомендуют своим пользователям участвовать в дополнительных занятиях фитнесом или социальных мероприятиях, таких как указание пищи для подсчета и анализа теплотворной способности, индивидуального настроения в определенное время дня (также в отношении занятий и потребления пищи), для регистрации своей физической формы. цели

и отслеживать прогресс с течением времени

или конкурировать с другими энтузиастами фитнеса в игровой среде в стиле социальных сетей.

,

Проблемы, поднятые Open Effect и Citizen Lab, иллюстрируют опасность использования фитнес-трекеров для предоставления надежных личных данных в различных ситуациях. Данные фитнес-трекера использовались для обеспечения страховых полисов или для представления прогресса, достигнутого в решении медицинских проблем, однако мы видим, что эти данные могут быть легко подделаны.

Кроме того, делают ли эти проблемы с данными данные самой природой этих технологических компаний, занимающихся фитнес-трекерами? Как эти неудачные попытки защиты данных перевести на другие их продукты? Проблема связана не только с фитнес-трекерами, и граждане, и регулирующие органы должны сделать больше, чтобы обеспечить постоянную защиту пользовательских данных, чтобы мы не обнаружили целые отрасли промышленности, подорванные их кажущимся отсутствием заботы и осторожности с частными данными.

Что дальше?

Выводы отчета ясны: повышенная безопасность основана на рекомендациях Open Effect и Citizen Lab. Личная и личная безопасность очень важны, и мы должны решать проблемы по мере их поступления. Но нужна не только повышенная безопасность. Пользователи фитнес-трекера должны понимать, куда отправляются их данные, где они хранятся и какие другие стороны имеют к ним доступ.

На технологических компаниях лежит обязанность сообщать своим пользователям всю глубину технического надзора, который они также приняли, независимо от того, осознают они это или нет, а также его потенциальные риски.

Пришло время выбросить ваш фитнес-трекер? Наверное, нет, особенно если у вас есть Apple Watch

, Несмотря на неоднозначную реакцию на результаты технического отчета от производителей фитнес-трекеров, маловероятно, что эти уязвимости будут существовать долго.

Или мы можем, по крайней мере, надеяться, что они не будут существовать долго.

Вы беспокоитесь о своем фитнес-трекере? Вы потеряли данные из-за носимых технологий? Что случилось? Дайте нам знать ниже!

Ссылка на основную публикацию
Adblock
detector