Fitness Tracker vă pune în pericol securitatea?

Publicitate

Considerând de unde vor scurge datele noastre este o sarcină dificilă. Ne luăm măsurile de precauție necesare pe dispozitivele noastre, instalăm software antivirus, rulăm scanări malware și sperăm că e-mailurile verifică dublu și triplu pentru orice lucru suspect. Acestea sunt doar câteva dintre potențialii vectori de atac care ne așteaptă.

Cercetătorii de securitate au dezvăluit că, în afară de dispozitivele noastre „obișnuite”, una dintre cele mai noi forme de tehnologia ar putea oferi atacatorilor un unghi neașteptat, dar ușor accesibil pentru a ne fura date personale. Următorii de fitness au intrat recent sub lumina reflectoarelor de securitate, după ce un raport tehnic a evidențiat o serie de defecte grave de securitate în design-urile lor, permițând teoretic potențialilor atacatori să vă intercepteze personalul date.

Defecte de fitness fatale

Urmaritorii de fitness au vazut o creștere fără precedent a popularității 17 cele mai bune gadgeturi pentru sănătate și fitness pentru a-ți îmbunătăți corpul

În ultimii ani, inovația în domeniul gadgeturilor de sănătate și fitness a explodat. Iată doar câteva dintre piesele uimitoare ale kitului pe care le vei putea folosi pentru a te simți minunat. Citeste mai mult de-a lungul ultimilor ani. Numai în cel de-al patrulea trimestru al anului 2015 a înregistrat o creștere masivă de 197% a vânzărilor de la an la an, de la 7,1 milioane la 21 milioane de unități. Analiști de piață Parks Associates estimează piața globală de tracker de fitness va continua să crească, care a crescut de la 2 miliarde de dolari în 2014 la 5,4 miliarde de dolari în 2019. Acestea sunt câștiguri semnificative, indicând numărul de utilizatori care se pot expune la acest vector de atac necunoscut anterior.

Organizația canadiană de cercetare non-profit Efect deschis, și laborator de cercetare interdisciplinar Laboratorul cetățean, a examinat opt ​​dintre cele mai populare ținute de fitness disponibile în prezent: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 și Xiaomi Mi Grup.

raport de cercetare combinat a căutat să descopere pașii pe care companiile tehnologice le fac pentru a vă proteja și menține securitatea datelor. În timp ce știm și înțelegem, trackerele de fitness vor colecta bătăi de inimă, pași, calorii și somn date, cercetătorii au explorat exact ce se întâmplă cu aceste date atunci când acestea sunt pe mâinile dispozitivului dezvoltatori.

Ce date sunt trimise către un server de la distanță? Cum securizează companiile tehnologice datele? Cu cine este împărtășit? Cum folosesc de fapt companiile informațiile?

Principalele concluzii includ:

• Șapte din opt dispozitive de urmărire de fitness emit identificatori unici persistenți (adresa Bluetooth Control Access Access) care își poate expune purtătorii la urmărirea pe termen lung a locației lor atunci când dispozitivul nu este asociat și conectat la un telefon mobil dispozitiv.
• Aplicațiile Jawbone și Withings pot fi exploatate pentru a crea recorduri false de benzi de fitness. Aceste înregistrări false pun în discuție fiabilitatea utilizării datelor de tracker de fitness în cazurile de judecată și în programele de asigurare.
• Aplicațiile Garmin Connect (iPhone și Android) și aplicația Withings Health Mate (Android) au vulnerabilități de securitate care permit unui terț neautorizat să citească, să scrie și să șteargă utilizatorul date.
• Garmin Connect nu folosește practici de securitate de transmitere a datelor de bază pentru aplicațiile sale iOS sau Android și, prin urmare, expune informații de fitness la supraveghere sau modificare.

Identificatori unici persistenți

Tehnologia purtabilă emite un semnal Bluetooth persistent. Indiferent dacă este smartwatch sau fitness tracker, acest semnal este utilizat pentru a comunica în mod constant cu smartphone-ul. Comunicarea lor cu dispozitivul extern este întreținut folosind o adresă MAC (Control acces media) Adresa IP și MAC: Pentru ce sunt bune?Internetul nu este atât de diferit de serviciul poștal obișnuit. În loc de o adresă de domiciliu, avem adrese IP. În loc de nume, avem adrese MAC. Împreună, primesc datele la ușa ta. Iată ... Citeste mai mult , identificând în mod unic trackerul de fitness.

În contextul trackerelor de fitness, menținerea securității datelor cu caracter personal solicită ca aceste adrese să fie randomizate pentru a se asigura că utilizatorul nu poate fi urmărit și identificat de adresa MAC. Beacon-urile Bluetooth, utilizate cu frecvență din ce în ce mai mare în centrele comerciale pentru a crea publicitate mobilă vizată, pot urmări și profila acele dispozitive folosind o singură adresă MAC (pot fi, de asemenea, construit de oricine cu un computer compact, adecvat Construiți un iBeacon de bricolaj cu un zmeură PiReclamele destinate unui anumit utilizator care se plimbă printr-un centru metropolitan sunt lucruri de viitor distopic. Dar acesta nu este deloc un viitor distopic: tehnologia este deja aici. Citeste mai mult ). Într-adevăr, dintre dispozitivele testate doar Apple Watch a randomizat adresa MAC „la un interval de aproximativ 10 minute” pentru a proteja identitatea utilizatorului său.

Cu Adresa MAC persistentă înregistrată, locația utilizatorului ar putea fi urmărită în mod fezabil de la beacon la beacon. Dacă un centru comercial decide să colecteze informații despre locația utilizatorului pe parcursul vizitei de cumpărături, datele ar putea fi vândute unei agenții de marketing sau unui alt broker de date, fără să anunțe în primul rând utilizatorul. Dacă un singur broker de date poate achiziționa mai multe profiluri, informațiile pot fi colectate pentru a construi un aspect sofisticat profiluri de publicitate vizate, activate de fiecare dată când utilizatorul (și identificatorul lor unic de dispozitiv) intră în constructii.

Aplicațiile sunt la fel de rele

Fiecare tracker de fitness vine cu propria aplicație de monitorizare, capturând multitudinea de date referitoare la fitness și transpunându-le într-o imagine vizuală frumoasă a acțiunilor utilizatorilor. Cu toate acestea, aplicațiile în sine s-au descoperit că scurg informații personale, în mai multe locații de transmisie.

De exemplu, se poate aștepta ca orice transmitere de date cu caracter personal să fie criptat folosind HTTPS cel puțin Ce este HTTPS și cum puteți activa conexiunile sigure per defectÎngrijorările de securitate se răspândesc mult și au ajuns în prim-planul minții tuturor. Termeni precum antivirus sau firewall nu mai sunt vocabular ciudat și nu numai că sunt înțeleși, dar sunt folosiți și de ... Citeste mai mult ; Garmin Connect nu a reușit nici măcar să facă asta, lăsând datele utilizatorului să fie expuse pasiv unui potențial ascultător.

În mod similar, deși Bellabeat Leaf și Withings Health Mate comunică cu serverele la distanță folosind HTTPS, ambele companiile au trimis e-mailuri de redare către utilizatori pentru a-și confirma datele de înscriere, lăsându-i pe utilizatori să fie liberi în mijloc atacuri. Orice atacator cu cunoștințe de lucru despre API-ul Bellabeat sau Withings ar putea accesa o gamă largă de informații de fitness personale în câteva minute. Această formă de atac ar putea fi, de asemenea, folosită pentru a împinge date rău intenționate sau false către telefonul purtabil sau telefonul utilizatorului.

Modificarea datelor

Trei dintre aplicațiile de fitness tracker observate „erau vulnerabile la un utilizator motivat care creează date false de fitness generate pentru propriul cont”, păcălind serverele companiei să accepte date false. Efect deschis și Laboratorul cetățean a creat mai multe aplicații menite să păcălească serverele de fitness tracker în acceptarea informațiilor false, cu Bellabeat LEAF, Jawbone UP și Withings Health Mate.

„Am trimis o solicitare către Jawbone, afirmând că utilizatorul nostru de test a făcut zece miliarde de pași într-o singură zi”

Aplicarea lor a distribuit în mod uniform cronometrarea în trepte la intervale fixe într-un interval de timp dorit, creând o distribuție artificială a treptelor. Cercetătorii au concluzionat că o abordare mai sofisticată ar „aloca în mod aleatoriu pași pentru a stabili o distribuție mai realistă” pentru a scăpa în continuare de detectarea.

De ce este aceasta o problemă?

Următoarele de fitness pot menține un flux continuu de colectare de date cu caracter personal Cât o mare parte din datele dvs. personale ar putea urmări dispozitivele inteligente?Problemele de securitate și securitate inteligente ale locuinței sunt la fel de reale ca oricând. Și chiar dacă ne place ideea de tehnologie inteligentă, aceasta este doar una dintre multe lucruri de care trebuie să conștientizăm înainte de scufundare ... Citeste mai mult . Vectorii obținuți de colectare a datelor includ pașii, bătăile inimii, modelele de somn, ridicarea, geolocațiile, calitatea activităților și tipurile de activități.

Unii dintre următorii de fitness își încurajează utilizatorii să se implice în activități sociale sau de fitness suplimentare, cum ar fi specificarea mâncării pentru numărarea și analiza calorică, starea de spirit personală la anumite ore ale zilei (de asemenea, în legătură cu activitățile și hrana consum), să-și logheze obiectivele de fitness 10 șabloane Excel pentru a vă urmări sănătatea și starea de fitness Citeste mai mult și urmări progresul în timp Urmăriți domeniile cheie ale vieții dvs. în 1 minut cu formularele GoogleEste uimitor ce poți învăța despre tine când îți faci timp să acorde atenție obiceiurilor și comportamentelor tale zilnice. Utilizați formularele versatile Google pentru a urmări progresul dvs. cu obiective importante. Citeste mai mult sau să concureze cu alți pasionați de fitness din medii de tablou de bord socializate în stil social Cele mai bune aplicații de fitness social pentru a lucra cu prietenii și familiaAplicațiile de fitness pentru rețelele de socializare pot fi una dintre cele mai bune metode de a vă răspunde prietenilor, dar trebuie să găsiți aplicația care funcționează cel mai bine pentru dvs.! Citeste mai mult .

Problemele ridicate de Efect deschis și Laboratorul cetățean ilustrați pericolele care se bazează pe trackerele de fitness pentru a oferi date personale fiabile într-o serie de situații. Datele de urmărire de fitness au fost folosite pentru a asigura polițele de asigurare sau reprezintă progresele înregistrate în problemele medicale, cu toate acestea, vedem că datele ar putea fi ușor falsificate.

Mai mult, aceste probleme de date fac ca natura acestor companii de tehnologie de tracker să fie discutabilă? Cum se traduc aceste slabe încercări de protecție a datelor în celelalte produse? Problema nu se leagă numai la trackerele de fitness și ar trebui să facă mai mult atât cetățenii cât și autoritățile de reglementare pentru a asigura datele utilizatorilor este protejat în permanență, ca să nu găsim industrii întregi subminate de aparenta lor lipsă de grijă și de discreția cu privatul date.

Ce urmează?

Constatările raportului sunt clare: securitate sporită pe baza recomandărilor din Efect deschis și Laboratorul cetățean. Securitatea personală și privată este serioasă și ar trebui să abordăm problemele pe măsură ce ajung. Dar nu este nevoie doar de securitatea sporită. Utilizatorii de fitness tracker trebuie să înțeleagă unde sunt trimise datele lor, unde sunt stocate și ce alte părți au acces la acestea.

Onus se bazează pe companiile de tehnologie pentru a comunica cu utilizatorii lor toată profunzimea tehnică supraveghere pe care și-au dobândit-o, indiferent dacă o realizează sau nu, împreună cu potențialul acesteia riscuri.

Este timpul să vă aruncați trackerul de fitness? Probabil ca nu, mai ales dacă aveți un Apple Watch Nu Apple Watch: 9 alte dispozitive portabile pentru iPhoneAnunțul Apple Watch a fost o veste mare, dar este departe de singurul dispozitiv purtabil conceput pentru a fi folosit cu un iPhone. Citeste mai mult . În ciuda reacțiilor mixte față de rezultatele raportului tehnic al producătorilor de fitness trackers, este puțin probabil ca aceste vulnerabilități să existe de mult.

Sau, cel puțin, putem spera că nu vor exista mult timp.

Ești îngrijorat de trackerul tău de fitness? Ați pierdut date prin tehnologie de purtat? Ce s-a întâmplat? Spuneți-ne mai jos!