Strona główna Bezpieczeństwo Czy Twój monitor fitness zagraża Twojemu bezpieczeństwu?

Czy Twój monitor fitness zagraża Twojemu bezpieczeństwu?

  • Edmund Richardson
  • 0
  • 2884
  • 806
Reklama

Zastrzeżenie, skąd wyciekają nasze dane, jest trudnym zadaniem. Podejmujemy niezbędne środki ostrożności na wszystkich naszych urządzeniach, instalując oprogramowanie antywirusowe, uruchamiając skanowanie w poszukiwaniu złośliwego oprogramowania oraz, mam nadzieję, podwójnie i potrójnie sprawdzając wiadomości e-mail pod kątem wszelkich podejrzanych zagrożeń. To tylko kilka potencjalnych wektorów ataku, które nas czekają.

Badacze bezpieczeństwa ujawnili to oprócz naszego “regularny” urządzenia, jedna z najnowszych form technologii może zapewnić atakującym nieoczekiwany, ale łatwo dostępny kąt, aby ukraść nasze dane osobowe. Fitness trackery niedawno znalazły się w centrum uwagi bezpieczeństwa po tym, jak raport techniczny uwypuklił szereg poważnych błędów bezpieczeństwa w ich projektach, teoretycznie umożliwiając potencjalnym atakującym przechwycenie twoich danych osobowych.

Fatalne wady sprawności

Obserwatorzy fitnessu zaobserwowali bezprecedensowy wzrost popularności 17 Najlepsze gadżety zdrowotne i fitnessowe poprawiające twoje ciało 17 Najlepsze gadżety zdrowotne i fitnessowe poprawiające twoje ciało W ciągu ostatnich kilku lat nastąpiła eksplozja innowacyjnych gadżetów zdrowotnych i fitnessowych. Oto tylko kilka niesamowitych elementów zestawu, których będziesz mógł użyć, aby czuć się świetnie. przez ostatnie kilka lat. Tylko w czwartym kwartale 2015 r. Odnotowano ogromny wzrost sprzedaży o 197% rok do roku, z 7,1 miliona do 21 milionów sztuk. Analitycy rynku Parks Associates szacuje, że globalny rynek urządzeń do monitorowania kondycji będzie nadal rósł, z 2 mld USD w 2014 r. do 5,4 mld USD w 2019 r. Są to znaczące zyski, wskazujące na liczbę użytkowników potencjalnie narażających się na ten nieznany wcześniej wektor ataków.

Kanadyjska organizacja badawcza non-profit Efekt otwarty, oraz interdyscyplinarne laboratorium badawcze Citizen Lab, przebadałem osiem najpopularniejszych obecnie noszonych urządzeń fitness: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 i Xiaomi Mi Band.

Połączony raport z badań miał na celu odkrycie kroków, jakie firmy technologiczne podejmują w celu ochrony i utrzymania bezpieczeństwa danych. Chociaż wiemy i rozumiemy, że urządzenia fitness gromadzą dane dotyczące bicia serca, kroków, kalorii i snu, badacze zbadali, co dzieje się z tymi danymi, gdy są one w rękach twórców urządzeń.

Jakie dane są wysyłane do zdalnego serwera? Jak firmy technologiczne zabezpieczają dane? Komu to jest udostępniane? W jaki sposób firmy faktycznie wykorzystują te informacje?

Najważniejsze ustalenia obejmowały:

  • Siedem z ośmiu urządzeń monitorujących sprawność emituje trwałe unikalne identyfikatory (adres Bluetooth Media Access Control), które mogą narazić użytkowników na długotrwałe śledzenie ich lokalizacji, gdy urządzenie nie jest sparowane i nie jest połączone z urządzeniem mobilnym.
  • Aplikacje Jawbone i Withings można wykorzystać do tworzenia fałszywych rekordów zespołów fitness. Takie fałszywe zapisy podważają wiarygodność wykorzystania danych z urządzenia do monitorowania sprawności w sprawach sądowych i programach ubezpieczeniowych.
  • Aplikacje Garmin Connect (iPhone i Android) oraz Withings Health Mate (Android) mają luki w zabezpieczeniach, które umożliwiają nieautoryzowanym podmiotom zewnętrznym odczytywanie, zapisywanie i usuwanie danych użytkownika.
  • Garmin Connect nie stosuje podstawowych praktyk bezpieczeństwa transmisji danych w aplikacjach na iOS lub Androida, w związku z czym naraża informacje o kondycji na nadzór lub manipulację.

Trwałe unikalne identyfikatory

Technologia noszenia emituje trwały sygnał Bluetooth. Niezależnie od tego, czy jest to smartwatch, czy monitor fitness, sygnał ten służy do konsekwentnej komunikacji ze smartfonem. Ich komunikacja z urządzeniem zewnętrznym jest utrzymywana przy użyciu adresu MAC (Media Access Control) Co to jest adres MAC i czy można go wykorzystać do zabezpieczenia sieci domowej? [MakeUseOf wyjaśnia] Co to jest adres MAC i czy można go użyć do zabezpieczenia sieci domowej? [MakeUseOf wyjaśnia] Struktura sieci i zarządzanie mają swój własny język. Niektóre z podanych terminów prawdopodobnie będą już dla ciebie znane. Ethernet i Wi-Fi to w dużej mierze oczywiste koncepcje, chociaż może to wymagać trochę…, jednoznacznej identyfikacji monitora fitness.

W kontekście monitorów sprawnościowych utrzymanie bezpieczeństwa danych osobowych wymaga, aby adresy te były losowe, aby zapewnić, że użytkownik nie będzie mógł śledzić i zidentyfikować na podstawie adresu MAC. Sygnały nawigacyjne Bluetooth, używane coraz częściej w centrach handlowych do tworzenia ukierunkowanych reklam mobilnych, mogą śledzić i profilować te urządzenia za pomocą jednego adresu MAC (mogą być również zbudowane przez każdego z odpowiednim, kompaktowym komputerem. Zbuduj DIY iBeacon z kompilacją Raspberry Pi DIY iBeacon z reklamami Raspberry Pi skierowanymi do konkretnego użytkownika przechodzącego przez centrum metropolii to dystopijna przyszłość, ale to wcale nie jest dystopijna przyszłość: technologia już tu jest.) Rzeczywiście, spośród testowanych urządzeń tylko Apple Watch losowo przypisał swój adres MAC “w odstępie około 10 minut” w celu ochrony tożsamości użytkownika.

Po zarejestrowaniu trwałego adresu MAC lokalizacja użytkownika może być śledzona od latarni do latarni. Jeśli centrum handlowe zdecyduje się gromadzić informacje o lokalizacji użytkownika podczas całej wizyty zakupowej, dane mogą zostać sprzedane agencji marketingowej lub innemu brokerowi danych bez uprzedniego powiadomienia użytkownika. Jeśli pojedynczy broker danych może zakupić wiele profili, informacje mogą być zestawiane w celu tworzenia wyrafinowanych ukierunkowanych profili reklamowych, aktywowanych za każdym razem, gdy użytkownik (i jego unikalny identyfikator urządzenia) wejdą do budynku.

Aplikacje są równie złe

Każdy monitor fitness ma własną aplikację monitorującą, która rejestruje mnóstwo danych związanych z kondycją i przekłada je na ładne wizualne przedstawienie działań użytkowników. Jednak same aplikacje ujawniają dane osobowe w wielu lokalizacjach transmisji.

Na przykład można oczekiwać, że każda transmisja danych osobowych będzie szyfrowana przynajmniej przy użyciu HTTPS. Co to jest HTTPS i jak włączyć bezpieczne połączenia domyślnie Czym jest HTTPS i jak włączyć bezpieczne połączenia domyślnie Obawy dotyczące bezpieczeństwa rozprzestrzeniają się daleko i szeroko dotarli na czoło większości umysłów. Terminy takie jak program antywirusowy lub zapora ogniowa nie są już dziwnym słownictwem i są nie tylko zrozumiałe, ale również używane przez…; Garmin Connect nawet tego nie zrobił, pozostawiając dane użytkownika biernie narażone na potencjalnego podsłuchu.

Podobnie, mimo że Bellabeat Leaf i Withings Health Mate komunikują się ze zdalnymi serwerami za pomocą HTTPS, obie firmy wysłały użytkownikom wiadomości e-mail w formie zwykłego tekstu, aby potwierdzić swoje dane logowania, pozostawiając użytkowników otwartych na ataki typu man-in-the-middle. Każdy atakujący z praktyczną znajomością Bellabeat lub Withings API może uzyskać dostęp do szerokiej gamy osobistych informacji o kondycji w ciągu kilku minut. Tej formy ataku można również użyć do wypchnięcia złośliwych lub fałszywych danych na urządzenie do noszenia lub telefon użytkownika.

Sabotaż danych

Zaobserwowano trzy aplikacje do monitorowania kondycji “były narażone na zmotywowanego użytkownika, który tworzy fałszywie wygenerowane dane dotyczące kondycji na własne konto,” oszukanie serwerów firmowych w celu zaakceptowania fałszywych danych. Efekt otwarty i Citizen Lab stworzył kilka aplikacji mających na celu nakłonienie serwerów fitness do zaakceptowania fałszywych informacji, a wkrótce pojawią się Bellabeat LEAF, Jawbone UP i Withings Health Mate.

“Wysłaliśmy zapytanie do Jawbone, stwierdzając, że nasz użytkownik testowy wykonał dziesięć miliardów kroków w ciągu jednego dnia”

Ich zastosowanie równomiernie rozłożyło czasy kroków na ustalone przedziały w pożądanych ramach czasowych, tworząc sztuczny rozkład kroków. Naukowcy doszli do wniosku, że byłoby to bardziej wyrafinowane podejście “losowo przydzielaj kroki, aby ustalić bardziej realistyczny rozkład” aby dalej uciec wykryciu.

Dlaczego to jest problem??

Fitness trackery mogą utrzymywać ciągły strumień gromadzenia danych osobowych Ile twoich danych osobowych może monitorować urządzenie inteligentne? Ile twoich danych osobowych może śledzić urządzenie inteligentne? Obawy dotyczące prywatności i bezpieczeństwa inteligentnego domu są nadal tak realne, jak zawsze. I choć podoba nam się pomysł inteligentnych technologii, jest to jedna z wielu rzeczy, o których należy pamiętać przed nurkowaniem… Typowe wektory do gromadzenia danych obejmują kroki, bicie serca, wzorce snu, wysokość, geolokalizacje, jakość działań i rodzaje działań.

Niektóre urządzenia monitorujące kondycję zachęcają użytkowników do angażowania się w dodatkowe zajęcia fitness lub zajęcia towarzyskie, takie jak określanie jedzenia do kalorycznego liczenia i analizy, osobisty nastrój w określonych porach dnia (również w odniesieniu do aktywności i konsumpcji żywności), aby rejestrować swoją kondycję cele 10 szablonów programu Excel do śledzenia stanu zdrowia i kondycji 10 szablonów programu Excel do śledzenia stanu zdrowia i kondycji i śledzenia postępów w czasie Śledzenie kluczowych obszarów życia w ciągu 1 minuty za pomocą Formularzy Google Śledzenie kluczowych obszarów życia w ciągu 1 minuty za pomocą Formularzy Google To niesamowite, czego możesz się nauczyć o sobie, kiedy poświęcasz czas na zwracanie uwagi na swoje codzienne nawyki i zachowania. Korzystaj z wszechstronnych Formularzy Google, aby śledzić swoje postępy w realizacji ważnych celów. , lub konkurować z innymi entuzjastami fitnessu w zgralizowanych środowiskach w stylu mediów społecznościowych. Najlepsze aplikacje społecznościowe do ćwiczeń z przyjaciółmi i rodziną Najlepsze aplikacje społecznościowe do ćwiczeń z przyjaciółmi i rodziną Aplikacje społecznościowe mogą być jednymi z najlepszych sposobów, aby pozostać odpowiedzialnym przed znajomymi, ale musisz znaleźć aplikację, która najlepiej Ci odpowiada! .

Problemy podniesione przez Efekt otwarty i Citizen Lab ilustrują niebezpieczeństwa związane z monitorowaniem kondycji w celu zapewnienia wiarygodnych danych osobowych w różnych sytuacjach. Dane fitness trackera zostały wykorzystane do zabezpieczenia polis ubezpieczeniowych lub reprezentują postępy w problemach medycznych, ale widzimy, że dane można łatwo sfałszować.

Ponadto, czy te problemy z danymi powodują, że charakter tych firm zajmujących się technologią monitorowania fitness jest wątpliwy? Jak te nieudane próby ochrony danych przekładają się na inne produkty? Problem nie dotyczy wyłącznie monitorów kondycji i zarówno obywatele, jak i organy regulacyjne powinni zrobić więcej, aby zapewnić ochronę danych użytkowników przez cały czas, aby nie narazić na szwank całej branży z powodu pozornego braku dbałości i dyskrecji w zakresie danych prywatnych.

Co następne?

Wyniki raportu są jasne: zwiększone bezpieczeństwo w oparciu o zalecenia z Efekt otwarty i Citizen Lab. Bezpieczeństwo osobiste i prywatne jest poważne i powinniśmy rozwiązywać problemy po ich przybyciu. Ale potrzebne jest nie tylko zwiększone bezpieczeństwo. Użytkownicy trackera fitness muszą zrozumieć, dokąd wysyłane są ich dane, gdzie są one przechowywane i do których innych stron mają do nich dostęp.

Na firmach technologicznych spoczywa ciężar komunikowania się ze swoimi użytkownikami na pełnej głębokości nadzoru technicznego, który przejęli, niezależnie od tego, czy zdają sobie z tego sprawę, czy nie, wraz z potencjalnym ryzykiem.

Czy nadszedł czas, aby wyrzucić monitor fitness? Prawdopodobnie nie, szczególnie jeśli masz zegarek Apple Watch, a nie Apple Watch: 9 innych urządzeń do noszenia na iPhonie Nie Apple Watch: 9 innych urządzeń do noszenia na iPhone'ie Ogłoszenie Apple Watch było wielką wiadomością, ale dalekie jest od jedynego urządzenia do noszenia zaprojektowany do użytku z iPhone'em. . Pomimo mieszanych reakcji na ustalenia raportu technicznego producentów monitorów fitness, jest mało prawdopodobne, aby luki te istniały przez długi czas.

Lub możemy przynajmniej mieć nadzieję, że nie będą istnieć długo.

Martwisz się o swój monitor fitness? Czy utraciłeś dane dzięki technologii noszenia? Co się stało? Daj nam znać poniżej!




Jeszcze bez komentarzy

Jaki jest najlepszy statyw telefoniczny?
Przewodniki zakupu
Co można włożyć do portu USB C?
Przewodniki zakupu
Najlepszy mini-komputer Media Center za mniej niż 100 USD
Przewodniki zakupu
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.