Ty biegasz, a złodziej kradnie twoje dane

Czy twoje urządzenia monitorujące aktywność fizyczną jest bezpieczne?

Czy popularne urządzenia monitorujące aktywność fizyczną, które pomagają zarządzać wysiłkiem fizycznym oraz spożyciem kalorii są bezpieczne? Przecież przetwarzają istotne dane osobiste dotyczące. Okazuje się, że metoda uwierzytelniania połączenia ze smartfonem zastosowana w kilku popularnych inteligentnych opaskach pozwala osobie trzeciej połączyć się ukradkiem z urządzeniem, wykonać polecenia i - w niektórych przypadkach - pobrać przechowywane na nim dane.

Roman Unuchek - badacz z Kaspersky Lab - sprawdził, w jaki sposób różne opaski fitnessowe wchodzą w interakcje ze smartfonem i uzyskał kilka zaskakujących wyników.

W przetestowanych urządzeniach dane te ograniczały się do liczby kroków wykonanych przez właściciela opaski w ciągu ostatniej godziny. Jednak w przyszłości, gdy na rynku pojawią się opaski fitnessowe nowej generacji, zdolne do gromadzenia większej liczby bardziej zróżnicowanych danych, ryzyko wycieku poufnych danych medycznych dotyczących właściciela może znacznie wzrosnąć.

Nieautoryzowane połączenie jest możliwe dzięki metodzie sparowania opaski ze smartfonem. Badanie ujawniło, że urządzenie z systemem Android 4.3 lub nowszym, na którym zainstalowano specjalną, nieautoryzowaną aplikację, może zostać sparowane z opaskami określonych producentów. Aby ustanowić połączenie, użytkownicy muszą potwierdzić takie sparowanie, wciskając przycisk na opasce. Jednak, potencjalni atakujący mogą łatwo obejść ten mechanizm, ponieważ większość nowoczesnych opasek nie posiada żadnych wyświetlaczy. Gdy opaska wibruje, prosząc właściciela o potwierdzenie sparowania, ofiara nie wie, czy potwierdza połączenie z własnym czy cudzym urządzeniem.

- To, czy taka weryfikacja poprawności będzie działała poprawnie, zależy od wielu warunków, ostatecznie jednak atakujący i tak nie zdobędzie naprawdę istotnych danych, takich jak hasła czy numery kart kredytowych - uspokaja Roman Unuchek, autor badania i starszy analityk szkodliwego oprogramowania, Kaspersky Lab. - Zostało jednak dowiedzione, że włamywacz może wykorzystać błędy, które zostały przeoczone przez twórców urządzenia. Obecnie dostępne urządzenia monitorujące aktywność fizyczną nadal nie są wystarczająco inteligentne. Potrafią wprawdzie zmierzyć liczbę kroków i monitorować cykle snu, ale poza tym niewiele więcej. Z drugiej strony, niebawem pojawi się nowa generacja takich urządzeń, które będą mogły zbierać o wiele więcej informacji o użytkownikach. Ważne jest, aby już dziś pomyśleć o bezpieczeństwie tego sprzętu i zapewnić odpowiednią ochronę w obszarze interakcji takiego gadżetu ze smartfonem.

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"