Ваш фитнес-трекер подвергает вашу безопасность риску?

Реклама

Считать, откуда наши данные будут вытекать, - трудная задача. Мы предпринимаем необходимые меры предосторожности на всех наших устройствах, устанавливая антивирусное программное обеспечение, проводя сканирование на наличие вредоносных программ, и, мы надеемся, дважды и трижды проверяем электронные письма на наличие подозрительных действий. Это лишь некоторые из возможных векторов атак, ожидающих нас.

Исследователи безопасности обнаружили, что помимо наших «обычных» устройств, одна из новейших форм Технология может предоставить злоумышленникам неожиданный, но легко доступный угол, чтобы украсть наши личные данные. Фитнес-трекеры недавно попали в центр внимания безопасности после того, как в техническом отчете была освещена серия серьезные недостатки безопасности в их проектах, теоретически позволяя потенциальным злоумышленникам перехватить вашу личную данные.

Фатальные недостатки фитнеса

Фитнес-трекеры уже видели беспрецедентный рост популярности 17 лучших гаджетов для здоровья и фитнеса для улучшения вашего тела

За последние несколько лет инновации в области гаджетов для здоровья и фитнеса резко возросли. Вот лишь некоторые из удивительных предметов, которые вы сможете использовать, чтобы чувствовать себя прекрасно. Прочитайте больше на протяжении последних нескольких лет. Только в 4-м квартале 2015 года объем продаж в годовом исчислении вырос на 197% - с 7,1 млн до 21 млн единиц. Аналитики рынка Партнеры Парков оценить мировой рынок фитнес-трекеров будет продолжать расти, увеличившись с 2 млрд долларов в 2014 году до 5,4 млрд долларов в 2019 году. Это значительный выигрыш, указывающий на количество пользователей, потенциально подверженных воздействию этого ранее неизвестного вектора атаки.

Канадская некоммерческая исследовательская организация Открытый эффект, и междисциплинарная исследовательская лаборатория Citizen Lab, изучил восемь самых популярных фитнес-носителей, доступных в настоящее время: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, предохранитель Mio, импульс Withings O2 и Xiaomi Mi Группа.

сводный исследовательский отчет стремился узнать, какие шаги предпринимают технологические компании для защиты и обеспечения безопасности ваших данных. Пока мы знаем и понимаем, фитнес-трекеры будут собирать сердцебиение, шаги, калории и сон Данные исследователи изучили только то, что происходит с этими данными, когда они находятся в руках устройства Разработчики.

Какие данные отправляются на удаленный сервер? Как технологические компании защищают данные? С кем это делится? Как компании на самом деле используют информацию?

Основные выводы включали:

• Семь из восьми фитнес-устройств отслеживания генерируют постоянные уникальные идентификаторы (адрес управления доступом к среде Bluetooth), которые могут подвергать своих владельцев долгосрочному отслеживанию их местоположения, когда устройство не сопряжено и не подключено к мобильному устройство.
• Приложения Jawbone и Withings можно использовать для создания поддельных записей фитнес-групп. Такие поддельные записи ставят под сомнение надежность использования данных фитнес-трекера в судебных делах и страховых программах.
• Приложения Garmin Connect (iPhone и Android) и приложение Withings Health Mate (Android) имеют уязвимости в системе безопасности, которые позволяют неавторизованным сторонним пользователям читать, писать и удалять пользователей данные.
• Garmin Connect не использует базовые методы защиты передачи данных для своих приложений iOS или Android и, следовательно, подвергает информацию о пригодности для наблюдения или вмешательства.

Постоянные уникальные идентификаторы

Носимая технология излучает постоянный сигнал Bluetooth. Будь то смарт-часы или фитнес-трекер, этот сигнал используется для постоянной связи с вашим смартфоном. Их связь с внешним устройством поддерживается с использованием MAC-адреса (Media Access Control) IP и MAC-адрес: для чего они нужны?Интернет ничем не отличается от обычной почтовой службы. Вместо домашнего адреса у нас есть IP-адреса. Вместо имен у нас есть MAC-адреса. Вместе они получают данные к вашей двери. Вот ... Прочитайте больше , однозначно идентифицирующий фитнес-трекер.

В контексте фитнес-трекеров обеспечение безопасности личных данных требует, чтобы эти адреса были рандомизированы, чтобы гарантировать, что пользователь не может быть отслежен и идентифицирован по MAC-адресу. Маяки Bluetooth, которые все чаще используются в торговых центрах для создания целевой мобильной рекламы, могут отслеживать и профилировать эти устройства с помощью одного MAC-адреса (они также могут быть созданный кем-либо с подходящим, компактным компьютером Создай самодельный iBeacon с малиновым пиРекламные объявления, ориентированные на конкретного пользователя, проходящего через столичный центр, являются предметом антиутопического будущего. Но это вовсе не мрачное будущее: технологии уже здесь. Прочитайте больше ). Действительно, из протестированных устройств только Apple Watch случайным образом определяли свой MAC-адрес «примерно с 10-минутным интервалом», чтобы защитить личность своего пользователя.

После регистрации постоянного MAC-адреса местоположение пользователя может быть реально отслежено от маяка к маяку. Если торговый центр решит собирать информацию о местонахождении пользователя во время посещения магазина, данные могут быть проданы маркетинговому агентству или другому брокеру данных без предварительного уведомления пользователя. Если один брокер данных может приобрести несколько профилей, информацию можно сопоставить для создания сложной целевые рекламные профили, активируются каждый раз, когда пользователь (и его уникальный идентификатор устройства) вводит строительство.

Приложения так же плохи

Каждый фитнес-трекер имеет свое собственное приложение для мониторинга, которое собирает множество данных, связанных с фитнесом, и переводит их в красивое визуальное отображение действий пользователей. Тем не менее, сами приложения обнаружили утечку личной информации в нескольких местах передачи.

Например, можно ожидать, что любая передача личных данных будет зашифрованы с использованием HTTPS по крайней мере Что такое HTTPS и как включить безопасные подключения по умолчаниюПроблемы безопасности распространяются повсеместно и достигли передовых позиций большинства людей. Такие термины, как антивирус или брандмауэр, больше не являются странным словарным запасом и не только понятны, но и используются ... Прочитайте больше ; Garmin Connect не смог этого сделать, оставив пользовательские данные пассивно доступными для прослушивания.

Аналогичным образом, хотя Bellabeat Leaf и Withings Health Mate взаимодействуют с удаленными серверами по протоколу HTTPS, оба компании отправляли пользователям электронные письма в незашифрованном виде, чтобы подтвердить свои учетные данные, оставляя пользователей открытыми для посредников атаки. Любой злоумышленник, обладающий практическими знаниями о Bellabeat или Withings API, может получить доступ к широкому спектру личной информации о фитнесе за считанные минуты. Эту форму атаки также можно использовать для передачи вредоносных или ложных данных на носимый или пользовательский телефон.

Фальсификация данных

Три из наблюдаемых приложений фитнес-трекера «были уязвимы для мотивированного пользователя, создававшего ложно сгенерированные данные фитнеса для своей учетной записи», что заставило серверы компании принимать поддельные данные. Открытый эффект и Citizen Lab создал несколько приложений, предназначенных для того, чтобы заставить серверы фитнес-трекеров принимать ложную информацию, в ближайшее время появятся Bellabeat LEAF, Jawbone UP и Withings Health Mate.

«Мы отправили запрос в Jawbone о том, что наш тестовый пользователь сделал десять миллиардов шагов за один день»

Их применение равномерно распределяет временные интервалы шагов в фиксированные интервалы в течение желаемого периода времени, создавая искусственное распределение шагов. Исследователи пришли к выводу, что более сложный подход «случайным образом распределит шаги для установления более реалистичного вида распределения» для дальнейшего обнаружения побега.

Почему это проблема?

Фитнес-трекеры могут поддерживать постоянный поток сбора личных данных Сколько ваших личных данных могут отслеживать смарт-устройства?Проблемы конфиденциальности и безопасности умного дома все еще реальны. И хотя нам нравится идея умных технологий, это лишь одна из многих вещей, о которых нужно знать перед погружением ... Прочитайте больше . Распространенные векторы сбора данных включают в себя шаги, сердцебиение, режимы сна, подъем, геолокации, качество действий и виды действий.

Некоторые из фитнес-трекеров поощряют своих пользователей участвовать в дополнительных фитнес-или социальных мероприятиях, таких как указание пищи для подсчета калорий и анализа, личного настроения в определенное время дня (также в связи с деятельностью и едой потребление), записывать свои цели в фитнесе 10 шаблонов Excel для отслеживания вашего здоровья и физической формы Прочитайте больше и отслеживать прогресс с течением времени Отслеживайте ключевые области своей жизни за 1 минуту с помощью форм GoogleУдивительно, что вы можете узнать о себе, когда уделяете время своим повседневным привычкам и поведению. Используйте универсальные формы Google, чтобы отслеживать ваши успехи с важными целями. Прочитайте больше или соревноваться с другими любителями фитнеса в игровая панель в стиле социальных сетей Лучшие приложения для фитнеса для общения с друзьями и семьейФитнес-приложения для социальных сетей могут быть одним из лучших способов оставаться подотчетными своим друзьям, но вам нужно найти приложение, которое лучше всего подойдет вам! Прочитайте больше .

Вопросы, поднятые Открытый эффект и Citizen Lab проиллюстрируйте опасности, связанные с использованием фитнес-трекеров для предоставления надежных личных данных в различных ситуациях. Данные фитнес-трекера использовались для обеспечения страховых полисов или для представления прогресса, достигнутого в решении медицинских проблем, однако мы видим, что эти данные могут быть легко подделаны.

Кроме того, делают ли эти проблемы с данными данные самой природой этих компаний, занимающихся технологиями фитнес-трекеров? Как эти неудачные попытки защиты данных перевести на другие продукты? Проблема связана не только с фитнес-трекерами, и как граждане, так и регулирующие органы должны сделать больше, чтобы гарантировать пользовательские данные защищен во все времена, иначе мы не обнаружим, что целые отрасли промышленности подрываются их кажущимся отсутствием заботы и осторожности с частными данные.

Что дальше?

Выводы доклада ясны: повышение безопасности на основе рекомендаций Открытый эффект и Citizen Lab. Личная и личная безопасность очень важны, и мы должны решать проблемы по мере их поступления. Но нужна не только повышенная безопасность. Пользователи фитнес-трекера должны понимать, куда отправляются их данные, где они хранятся и какие другие стороны имеют к ним доступ.

На технологических компаниях лежит обязанность общаться со своими пользователями по всей глубине технической наблюдение, которое они согласились, осознают ли они это или нет, наряду с его потенциалом риски.

Пришло время выбросить ваш фитнес-трекер? Возможно нет, особенно если у вас есть Apple Watch Not the Apple Watch: 9 других носимых с iPhone носимых устройствАнонс Apple Watch был большой новостью, но это далеко не единственное носимое устройство, предназначенное для использования с iPhone. Прочитайте больше . Несмотря на неоднозначную реакцию на результаты технического отчета от производителей фитнес-трекеров, маловероятно, что эти уязвимости будут существовать долго.

Или мы можем, по крайней мере, надеяться, что они не будут существовать долго.

Вы беспокоитесь о своем фитнес-трекере? Вы потеряли данные из-за носимых технологий? Что произошло? Дайте нам знать ниже!