Gadżety ubieralne: opaski fitnessowe a bezpieczeństwo danych
Obecnie dużą popularnością cieszą się wszelkiego rodzaju urządzenia monitorujące aktywność fizyczną, które pomagają zarządzać wysiłkiem fizycznym oraz spożyciem kalorii w celu utrzymania szczupłej sylwetki.
Jednak urządzenia te przetwarzają również istotne dane osobiste dotyczące ich właścicieli, dlatego bezpieczeństwo informacji nie może być pomijane. Roman Unuchek - badacz z Kaspersky Lab - sprawdził, w jaki sposób różne opaski fitnessowe wchodzą w interakcje ze smartfonem, i uzyskał kilka zaskakujących wyników.
Według wyników badania metoda uwierzytelniania zastosowana w kilku popularnych „inteligentnych” opaskach pozwala osobie trzeciej połączyć się ukradkiem z urządzeniem, wykonać polecenia i – w niektórych przypadkach – pobrać przechowywane na nim dane. W urządzeniach przetestowanych przez badacza z Kaspersky Lab dane te ograniczały się do liczby kroków wykonanych przez właściciela opaski w ciągu ostatniej godziny. Jednak w przyszłości, gdy na rynku pojawią się opaski fitnessowe nowej generacji, zdolne do gromadzenia większej ilości bardziej zróżnicowanych danych, ryzyko wycieku poufnych danych medycznych dotyczących właściciela może znacznie wzrosnąć.
Nieautoryzowane połączenie jest możliwe dzięki metodzie sparowania opaski ze smartfonem. Badanie ujawniło, że urządzenie z systemem Android 4.3 lub nowszym, na którym zainstalowano specjalną, nieautoryzowaną aplikację, może zostać sparowane z opaskami określonych producentów. Aby ustanowić połączenie, użytkownicy muszą potwierdzić takie sparowanie, wciskając przycisk na opasce. Jednak, potencjalni atakujący mogą łatwo obejść ten mechanizm, ponieważ większość nowoczesnych opasek nie posiada żadnych wyświetlaczy. Gdy opaska wibruje, prosząc właściciela o potwierdzenie sparowania, ofiara nie wie, czy potwierdza połączenie z własnym czy cudzym urządzeniem.
„To, czy taka weryfikacja poprawności będzie działała poprawnie, zależy od wielu warunków, ostatecznie jednak atakujący i tak nie zdobędzie naprawdę istotnych danych, takich jak hasła czy numery kart kredytowych. Zostało jednak dowiedzione, że włamywacz może wykorzystać błędy, które zostały przeoczone przez twórców urządzenia. Obecnie dostępne urządzenia monitorujące aktywność fizyczną nadal nie są wystarczająco inteligentne. Potrafią wprawdzie zmierzyć liczbę kroków i monitorować cykle snu, ale poza tym niewiele więcej. Z drugiej strony, niebawem pojawi się nowa generacja takich urządzeń, które będą mogły zbierać o wiele więcej informacji o użytkownikach. Ważne jest, aby już dziś pomyśleć o bezpieczeństwie tego sprzętu i zapewnić odpowiednią ochronę w obszarze interakcji takiego gadżetu ze smartfonem” – powiedział Roman Unuchek, autor badania i starszy analityk szkodliwego oprogramowania, Kaspersky Lab.
Eksperci z Kaspersky Lab radzą użytkownikom opasek fitnessowych, którzy przejmują się bezpieczeństwem i prywatnością swoich danych, aby sprawdzili u producenta opaski, czy taki wektor ataków może zostać wykorzystany na ich urządzeniu.
Pełny raport z badania wykorzystanego w niniejszej informacji prasowej jest dostępny w języku angielskim na stronie http://securelist.com/blog/research/69369/how-i-hacked-my-smart-bracelet.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.