Ohrožuje vaše fitness Tracker vaši bezpečnost?

reklama

Zvažovat, odkud budou naše data vytékat, je obtížný úkol. V rámci našich zařízení přijímáme nezbytná opatření, instalujeme antivirový software, provádíme skenování malwaru a doufejme, že e-maily zdvojnásobí a ztrojnásobí, zda nejsou podezřelé. Čeká nás jen několik potenciálních útočných vektorů.

Výzkumníci v oblasti bezpečnosti odhalili, že kromě našich „běžných“ zařízení, jedna z nejnovějších forem technologie by mohla útočníkům poskytnout nečekaný, ale snadno přístupný úhel, který nám ukradne osobní data. Fitness trackery se nedávno dostaly do popředí zájmu o bezpečnost poté, co technická zpráva zvýraznila řadu vážné bezpečnostní nedostatky v jejich konstrukcích, které teoreticky umožňují potenciálním útočníkům zachytit vaše osobní data.

Fatal Fitness Flaws

Fitness trackery viděli bezprecedentní nárůst popularity 17 nejlepších zdravotních a fitness pomůcek pro zlepšení vašeho tělaV posledních letech explodovaly inovace v oblasti zdravotních a fitness pomůcek. Zde je jen několik úžasných kousků sady, které budete moci použít, abyste se cítili skvěle. Přečtěte si více

během posledních několika let. Jen ve 4. čtvrtletí 2015 došlo k masivnímu nárůstu meziročních tržeb o 197% z 7,1 milionu na 21 milionů kusů. Analytici trhu Parks Associates odhadujte celosvětový trh pro sledování fitness bude i nadále růst, z 2 miliard dolarů v roce 2014 na 5,4 miliard dolarů v roce 2019. Jedná se o významné zisky, které ukazují na počet uživatelů, kteří se mohou potenciálně vystavit tomuto dříve neznámému útočnému vektoru.

Kanadská nezisková výzkumná organizace Otevřený efekt, a mezioborová výzkumná laboratoř Citizen Lab, prozkoumal osm z nejpopulárnějších fitness nosení v současné době k dispozici: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, pojistka Mio, Withings Pulse O2 a Xiaomi Mi Kapela.

kombinovaná výzkumná zpráva Snažil se objevit kroky, které technologické společnosti podnikají k ochraně a udržování bezpečnosti vašich dat. I když víme a rozumíme, fitness trackery budou shromažďovat prezenční signály, kroky, kalorie a spánek Vědci zkoumali, co se s nimi stane, když je v rukou zařízení vývojáři.

Jaká data jsou odesílána na vzdálený server? Jak technologické společnosti data zabezpečují? S kým je sdílen? Jak společnosti tyto informace skutečně využívají?

Mezi hlavní zjištění patřilo:

• Sedm z osmi zařízení pro sledování fitness vydává trvalé jedinečné identifikátory (adresa Bluetooth Media Access Control), která mohou vystavit své nositele dlouhodobému sledování jejich polohy, když zařízení není spárováno a není k němu připojeno mobilní zařízení přístroj.
• Aplikace Jawbone and Withings lze využít k vytvoření falešných záznamů o fitness kapele. Takové falešné záznamy zpochybňují spolehlivost použití těchto údajů o sledování kondice v soudních případech a pojistných programech.
• Aplikace Garmin Connect (iPhone a Android) a aplikace Withings Health Mate (Android) mají bezpečnostní chyby, které umožňují neoprávněné třetí straně číst, psát a mazat uživatele data.
• Garmin Connect nepoužívá základní bezpečnostní postupy přenosu dat pro své aplikace pro iOS nebo Android, a následně vystavuje informace o kondici dohledu nebo manipulaci.

Perzistentní jedinečné identifikátory

Nositelná technologie vysílá trvalý signál Bluetooth. Ať už se jedná o smartwatch nebo fitness tracker, tento signál se používá ke stálé komunikaci s vaším smartphonem. Jejich komunikace s externím zařízením probíhá udržováno pomocí adresy MAC (Media Access Control) IP a MAC adresa: K čemu jsou dobré?Internet se neliší od běžné poštovní služby. Místo domovské adresy máme IP adresy. Místo jmen máme MAC adresy. Společně získají data k vašim dveřím. Tady je ... Přečtěte si více , jedinečná identifikace fitness trackeru.

V souvislosti s fitness sledovacími zařízeními jsou požadavky na udržování bezpečnosti osobních údajů tyto adresy randomizovány, aby bylo zajištěno, že uživatel nemůže být sledován a identifikován MAC adresou. Bluetooth majáky, používané s rostoucí frekvencí v nákupních centrech k vytváření cílené mobilní reklamy, mohou tato zařízení sledovat a profilovat pomocí jediné adresy MAC (mohou být také postaven kýmkoli s vhodným, kompaktním počítačem Postavte DIY iBeacon s Raspberry PiReklamy cílené na konkrétního uživatele, který prochází městským centrem, jsou věcí dystopické budoucnosti. Ale to vůbec není dystopická budoucnost: technologie je již tady. Přečtěte si více ). Opravdu, ze testovaných zařízení pouze Apple Watch randomizoval svou MAC adresu „v přibližně 10minutovém intervalu“, aby chránil identitu uživatele.

Po zaznamenání trvalé adresy MAC bylo možné sledovat polohu uživatele od majáku k majáku. Pokud se nákupní centrum rozhodne shromáždit informace o poloze uživatele během své nákupní návštěvy, mohla by být data prodána marketingové agentuře nebo jinému zprostředkovateli údajů, aniž by to předem informovala uživatele. Pokud jeden datový makléř může zakoupit více profilů, mohou být informace shromážděny tak, aby byly propracované cílené reklamní profily, aktivované pokaždé, když uživatel (a jejich jedinečný identifikátor zařízení) vstoupí do systému budova.

Aplikace jsou stejně špatné

Každý fitness tracker přichází s vlastní monitorovací aplikací, která zachycuje velké množství dat souvisejících s fitness a převádí je do pěkného vizuálního zobrazení akcí uživatelů. Bylo však zjištěno, že samotné aplikace únikem osobních údajů na více místech přenosu.

Dalo by se například očekávat, že bude jakýkoli přenos osobních údajů šifrováno minimálně pomocí HTTPS Co je HTTPS a jak povolit zabezpečená připojení ve výchozím nastaveníBezpečnostní obavy se šíří široko daleko a dosáhly popředí většiny myslí všech. Termíny jako antivirus nebo firewall již nejsou zvláštní slovní zásobou a jsou nejen chápány, ale také používány ... Přečtěte si více ; Garmin Connect se to nepodařilo dosáhnout, takže uživatelská data byla pasivně vystavena potenciálnímu odposlouchávači.

Podobně, i když Bellabeat Leaf a Withings Health Mate komunikují se vzdálenými servery pomocí HTTPS společnosti posílaly uživatelům e-maily s otevřeným textem, aby potvrdily své přihlašovací údaje, a uživatelé tak zůstávají otevřeni člověku uprostřed útoky. Každý útočník, který má pracovní znalosti API Bellabeat nebo Withings, má během několika minut přístup k široké škále osobních údajů o kondici. Tuto formu útoku lze také použít k přenosu škodlivých nebo nepravdivých údajů do nositelného telefonu nebo do telefonu uživatele.

Manipulace s daty

Tři z pozorovaných aplikací fitness trackeru „byly zranitelné vůči motivovanému uživateli, který vytvářel nepravdivě generovaná fitness data pro svůj vlastní účet,“ podváděl firemní servery, aby přijímaly falešná data. Otevřený efekt a Citizen Lab vytvořili několik aplikací, jejichž cílem je přimět servery fitness trackeru k přijímání falešných informací. Bellabeat LEAF, Jawbone UP a Withings Health Mate se blíží.

"Poslali jsme společnosti Jawbone požadavek, že náš zkušební uživatel podnikl deset miliard kroků za jediný den."

Jejich aplikace rovnoměrně distribuovala časování kroků do pevných intervalů v požadovaném časovém rámci, čímž se vytvořilo umělé rozdělení kroků. Vědci dospěli k závěru, že sofistikovanější přístup by „náhodně přidělil kroky k vytvoření realističtější distribuce“ pro další detekci úniku.

Proč je to problém?

Fitness trackery mohou udržovat nepřetržitý tok sběru osobních údajů Kolik vašich osobních údajů dokáže inteligentní zařízení sledovat?Inteligentní domácí soukromí a bezpečnostní obavy jsou stále stejně reálné jako vždy. A i když máme rádi myšlenku inteligentní technologie, je to jen jedna z mnoha věcí, které si musíte uvědomit před potápěním ... Přečtěte si více . Mezi běžné vektory sběru dat patří kroky, srdeční rytmus, spánkové vzorce, povýšení, geolokace, kvalita aktivit a typy aktivit.

Někteří z měřičů fitness podněcují své uživatele, aby se zapojili do dalších fitness či sociálních aktivit, jako je specifikaci jídla pro kalorické počítání a analýzu, osobní náladu v konkrétní denní době (také ve vztahu k činnostem a jídlu) spotřeba), zaznamenat své fitness cíle 10 šablon Excel pro sledování vašeho zdraví a kondice Přečtěte si více a sledovat pokrok v čase Sledujte klíčové oblasti svého života za 1 minutu pomocí formulářů GoogleJe úžasné, co se o sobě můžete dozvědět, když uděláte čas, abyste věnovali pozornost svým každodenním zvyklostem a chování. Pomocí všestranných formulářů Google můžete sledovat svůj pokrok s důležitými cíli. Přečtěte si více , nebo soutěžit s jinými nadšenci fitness v ovládaná prostředí dashboardů na sociálních médiích Nejlepší aplikace pro sociální fitness pro práci s přáteli a rodinouAplikace pro fitness na sociálních médiích mohou být jedním z nejlepších způsobů, jak zůstat odpovědní vůči svým přátelům, ale musíte najít aplikaci, která vám nejlépe vyhovuje! Přečtěte si více .

Otázky nastolené Otevřený efekt a Citizen Lab ilustrují nebezpečí spoléhání se na fitness sledovače, které poskytují spolehlivé osobní údaje v celé řadě situací. Data trackeru Fitness byla použita k zajištění pojistných smluv nebo představují pokrok dosažený se zdravotními problémy, přesto vidíme, že data by mohla být snadno falšována.

Navíc způsobují tyto problémy s údaji samotnou povahu těchto společností zabývajících se technologií fitness trackerů? Jak se tyto špatné pokusy o ochranu dat projeví v jejich jiných produktech? Problém není vázán pouze na fitness sledovače a občané i regulátoři by měli udělat více, aby zajistili uživatelská data je chráněna za všech okolností, abychom nezjistili, že by celá odvětví byla narušena jejich zdánlivou nedostatečnou péčí a diskrétností se soukromými data.

Co dále?

Závěry zprávy jsou jasné: zvýšená bezpečnost založená na doporučeních Otevřený efekt a Citizen Lab. Osobní a soukromá bezpečnost je vážná a měli bychom se zabývat problémy, jakmile dorazí. Je však zapotřebí pouze zvýšené zabezpečení. Uživatelé fitness trackeru musí pochopit, kam jsou jejich data zasílána, kde jsou uložena a ke kterým dalším stranám mají přístup.

Je na technologických společnostech, aby s jejich uživateli komunikovaly v plné hloubce technické dohled, který se také shodli, ať už si to uvědomí nebo ne, spolu s jeho potenciálem rizika.

Je čas vyhodit váš fitness tracker pryč? Asi ne, zvláště pokud máte Apple Watch Not The Apple Watch: 9 dalších pomůcek vhodných pro iPhoneOznámení Apple Watch bylo velkou zprávou, ale není to jediné jediné nositelné zařízení navržené pro použití s ​​iPhone. Přečtěte si více . Navzdory smíšeným reakcím na zjištění technické zprávy od výrobců fitness trackeru je nepravděpodobné, že tato zranitelnost bude existovat dlouho.

Nebo můžeme alespoň doufat, že dlouho nebudou existovat.

Bojíte se o svůj fitness tracker? Ztratili jste data pomocí nositelné technologie? Co se stalo? Dejte nám vědět níže!