Reklama

Zvážiť, odkiaľ budú naše údaje unikať, je náročná úloha. Na všetkých našich zariadeniach prijímame potrebné bezpečnostné opatrenia, inštalujeme antivírusový softvér, spúšťame skenovanie škodlivého softvéru a dúfajme, že e-maily s dvojitým a trojitým overením všetkého podozrivého. Čaká nás len niekoľko potenciálnych útočných vektorov.

Vedci v oblasti bezpečnosti odhalili, že okrem našich „bežných“ zariadení je to jedna z najnovších foriem Technológia by mohla útočníkom poskytnúť nečakaný, ale ľahko prístupný uhol, ktorý im ukradne osobné údaje. Fitness sledovatelia sa nedávno dostali do centra pozornosti bezpečnosti po tom, čo technická správa vyzdvihla sériu vážne bezpečnostné chyby v ich dizajnoch, ktoré teoreticky umožňujú potenciálnym útočníkom zachytiť vašu osobu dát.

Fatal Fitness Flaws

Fitness sledovače videli bezprecedentný nárast popularity 17 najlepších zdravotných a fitness pomôcok na zlepšenie vášho telaV posledných rokoch explodovali inovácie týkajúce sa zdravotníckych a kondičných pomôcok. Tu je len niekoľko úžasných súprav, ktoré budete môcť používať, aby ste sa cítili skvele.

instagram viewer
Čítaj viac počas posledných niekoľkých rokov. Len v 4. štvrťroku 2015 došlo k výraznému nárastu medziročného obratu o 197%, zo 7,1 milióna na 21 miliónov kusov. Analytici trhu Associates Parks odhad globálneho trhu so sledovaním fitnes bude naďalej rásť, z 2 miliárd dolárov v roku 2014 na 5,4 miliárd dolárov v roku 2019. Toto sú významné zisky, ktoré naznačujú počet používateľov, ktorí sa môžu potenciálne vystaviť tomuto predtým neznámemu útočnému vektoru.

Fitness sledovače zahrnuté do štúdie č.

Kanadská nezisková organizácia pre výskum Otvorený efekt, a interdisciplinárne výskumné laboratórium Citizen Lab, preskúmala osem z najpopulárnejších fitness nosičov, ktoré sú v súčasnosti k dispozícii: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, poistka Mio, Withings Pulse O2 a Xiaomi Mi Band.

kombinovaná výskumná správa Snažil sa objaviť kroky, ktoré technologické spoločnosti podnikajú na ochranu a udržiavanie bezpečnosti vašich údajov. Aj keď vieme a rozumieme, fitness sledovače zhromažďujú prezenčné signály, kroky, kalórie a spánok vedci skúmali, čo sa s nimi stane, keď je v rukách zariadenia vývojári.

Aké údaje sa odosielajú na vzdialený server? Ako technologické spoločnosti zabezpečujú údaje? S kým je zdieľaný? Ako spoločnosti tieto informácie skutočne využívajú?

Medzi hlavné zistenia patrili:

  • Sedem z ôsmich zariadení sledujúcich fitnes vydáva trvalé jedinečné identifikátory (adresa Bluetooth Media Access Control), ktorá môžu vystaviť svojich nositeľov dlhodobému sledovaniu ich polohy, keď zariadenie nie je spárované a nie je k nemu pripojené zariadenie.
  • Aplikácie Jawbone and Withings sa dajú využiť na vytvorenie falošných záznamov o fitnes pásmach. Takéto falošné záznamy spochybňujú spoľahlivosť použitia údajov sledovania fitnes v súdnych konaniach a poistných programoch.
  • Aplikácie Garmin Connect (iPhone a Android) a Withings Health Mate (Android) majú bezpečnostné chyby, ktoré umožňujú neoprávnenej tretej strane čítať, zapisovať a mazať používateľa dát.
  • Garmin Connect nepoužíva základné bezpečnostné postupy pri prenose dát pre svoje aplikácie pre iOS alebo Android a následne vystavuje informácie o fitnes monitorovaniu alebo neoprávnenému zásahu.

Perzistentné jedinečné identifikátory

Nositeľná technológia vysiela pretrvávajúci signál Bluetooth. Či už ide o smartwatch alebo fitness tracker, tento signál sa používa na nepretržitú komunikáciu so smartfónom. Ich komunikácia s externým zariadením je udržiavané pomocou adresy MAC (Media Access Control) IP a MAC adresa: Na čo sú dobré?Internet sa príliš nelíši od bežnej poštovej služby. Namiesto domácej adresy máme adresy IP. Namiesto mien máme MAC adresy. Spoločne dostanú údaje k vašim dverám. Tu je ... Čítaj viac , jedinečná identifikácia sledovača fitnes.

Príklad adresy MAC

V kontexte sledovačov spôsobilosti vyžaduje údržba bezpečnosti osobných údajov tieto adresy náhodne, aby sa zabezpečilo, že používateľ nebude môcť sledovať a identifikovať pomocou MAC adresy. Majáky Bluetooth, ktoré sa používajú so zvyšujúcou sa frekvenciou v nákupných centrách na vytváranie cielenej mobilnej reklamy, môžu tieto zariadenia sledovať a profilovať pomocou jednej adresy MAC (môžu byť tiež postavený ktokoľvek s vhodným, kompaktným počítačom Zostavte DIY iBeacon s Raspberry PiReklamy zacielené na konkrétneho používateľa, ktorý prechádza metropolitným centrom, sú vecou dystopickej budúcnosti. Ale to nie je vôbec dystopická budúcnosť: táto technológia už je tu. Čítaj viac ). Skutočne, zo testovaných zariadení iba Apple Watch náhodne rozdelil svoju MAC adresu „v približne 10-minútovom intervale“, aby ochránil identitu svojho používateľa.

Po prihlásení trvalej adresy MAC bolo možné sledovať polohu používateľa od majáka po maják. Ak sa nákupné centrum rozhodne zhromaždiť informácie o polohe používateľa počas svojej nákupnej návštevy, údaje by sa mohli predať marketingovej agentúre alebo inému sprostredkovateľovi údajov bez toho, aby o tom vopred upovedomili používateľa. Ak jeden sprostredkovateľ údajov môže kúpiť viac profilov, informácie sa môžu zhromaždiť, aby sa vytvorila sofistikovaná cielené reklamné profily, aktivované zakaždým, keď používateľ (a jeho jedinečný identifikátor zariadenia) vstúpi do systému stavebniny.

Aplikácie sú rovnako zlé

Každý fitness sledovač prichádza s vlastnou monitorovacou aplikáciou, ktorá zachytáva množstvo údajov súvisiacich s fitness a prekladá ich do pekného vizuálneho zobrazenia akcií používateľov. Zistilo sa však, že samotné aplikácie únikom osobných údajov na viacerých miestach prenosu.

Bezpečnostné protokoly Fitness Tracker

Napríklad by sa dalo očakávať, že bude akýkoľvek prenos osobných údajov šifrované minimálne pomocou HTTPS Čo je protokol HTTPS a ako povoliť zabezpečené pripojenia podľa predvoleného nastaveniaBezpečnostné obavy sa šíria široko ďaleko a dostali sa do popredia väčšiny mysle každého. Výrazy ako antivírus alebo firewall už nie sú podivné slovníky a sú nielen chápané, ale tiež používané ... Čítaj viac ; Garmin Connect nedokázal to ani urobiť, takže užívateľské dáta boli pasívne vystavené potenciálnemu odpočúvateľovi.

Podobne, hoci Bellabeat Leaf a Withings Health Mate komunikujú so vzdialenými servermi pomocou protokolu HTTPS spoločnosti posielali používateľom e-maily s otvoreným textom, aby potvrdili svoje prihlasovacie údaje, a ponechávajú tak používateľov otvorených pre všetkých útoky. Každý útočník, ktorý má pracovné znalosti rozhrania API spoločnosti Bellabeat alebo Withings, má prístup k širokej škále osobných informácií o zdraví v priebehu niekoľkých minút. Táto forma útoku by sa mohla použiť aj na tlačenie škodlivých alebo nepravdivých údajov do nositeľného telefónu alebo telefónu používateľa.

Manipulácia s údajmi

Tri z pozorovaných aplikácií sledovania fitnes „boli zraniteľné voči motivovanému užívateľovi, ktorý vytvára falošne vygenerované údaje o fitnes na svoj vlastný účet,“ podvádza podnikové servery, aby akceptovali falošné údaje. Otvorený efekt a Citizen Lab vytvoril niekoľko aplikácií určených na podvádzanie serverov fitness trackera, aby akceptovali nepravdivé informácie. Krátko sa objavili Bellabeat LEAF, Jawbone UP a Withings Health Mate.

„Poslali sme spoločnosti Jawbone žiadosť, v ktorej sa uvádza, že náš testovací používateľ podnikol desať miliárd krokov za jeden deň.“

Ich aplikácia rovnomerne rozložila časovanie krokov do pevných intervalov v požadovanom časovom rámci, čím sa vytvorilo umelé rozdelenie krokov. Vedci dospeli k záveru, že prepracovanejší prístup by „náhodne pridelil kroky na vytvorenie realistickejšej distribúcie“ na ďalšie odhalenie úniku.

Prečo je to problém?

Fitness sledovače môžu udržiavať nepretržitý tok zhromažďovania osobných údajov Koľko z vašich osobných údajov by mohli inteligentné zariadenia sledovať?Starostlivosť o súkromie a bezpečnosť inteligentného domu sú stále také skutočné ako kedykoľvek predtým. A aj keď máme radi myšlienku inteligentnej technológie, je to jedna z mnohých vecí, ktoré si musíte uvedomiť pred potápaním ... Čítaj viac . Bežné vektory zberu údajov zahŕňajú kroky, srdcový rytmus, spánkové vzorce, prevýšenie, geolokácia, kvalita aktivít a typy aktivít.

Niektorí z fitness sledovateľov povzbudzujú svojich používateľov, aby sa zapojili do ďalších fitnes alebo spoločenských aktivít, ako je napríklad špecifikácia jedla pre kalorické počítanie a analýzu, osobnú náladu v konkrétnych časoch dňa (tiež vo vzťahu k činnostiam a jedlu spotreba) prihlásiť svoje fitness ciele 10 šablón Excel na sledovanie vášho zdravia a kondície Čítaj viac a sledovať pokrok v priebehu času Sledujte kľúčové oblasti svojho života za 1 minútu pomocou formulárov GoogleJe úžasné, čo sa o sebe môžete dozvedieť, keď urobíte čas, aby ste venovali pozornosť svojim každodenným zvykom a správaniu. Použite univerzálne formuláre Google na sledovanie pokroku s dôležitými cieľmi. Čítaj viac , alebo súťažiť s inými nadšencami fitness v prostredia dashboardov so štylizovanými sociálnymi médiami Najlepšie aplikácie sociálnej kondície pre cvičenie s priateľmi a rodinouAplikácie pre fitnes na sociálnych sieťach môžu byť jedným z najlepších spôsobov, ako zostať zodpovední voči svojim priateľom, ale musíte nájsť aplikáciu, ktorá vám najviac vyhovuje! Čítaj viac .

Otázky nastolené Otvorený efekt a Citizen Lab ilustrujú nebezpečenstvo spoliehania sa na fitness sledovače pri poskytovaní spoľahlivých osobných údajov v rôznych situáciách. Údaje sledovania fitnes sa používajú na zabezpečenie poistných zmlúv alebo predstavujú pokrok dosiahnutý v prípade zdravotných problémov, napriek tomu však vidíme, že údaje by sa dali ľahko falšovať.

Spochybňujú tieto problémy s údajmi samotný charakter týchto spoločností zaoberajúcich sa technológiou sledovania fitnes? Ako sa tieto zlé pokusy o ochranu údajov prenášajú na ich ďalšie produkty? Tento problém sa netýka iba sledovačov spôsobilosti a občania aj regulačné orgány by mali urobiť viac, aby zabezpečili údaje o užívateľoch je chránená za všetkých okolností, aby sme nepovažovali celé priemyselné odvetvia za ohrozené ich zjavnou nedostatočnou starostlivosťou a diskrétnosťou so súkromným sektorom dát.

Čo ďalej?

Zistenia správy sú jasné: zvýšená bezpečnosť založená na odporúčaniach Eurostatu Otvorený efekt a Citizen Lab. Osobná a súkromná bezpečnosť je vážna a pri jej príchode by sme sa mali zaoberať problémami. Nevyžaduje sa však iba zvýšenie bezpečnosti. Používatelia sledovania fitnes musia pochopiť, kam sa posielajú ich údaje, kde sa ukladajú a ku ktorým iným stranám majú prístup.

Je na technologických spoločnostiach, aby komunikovali so svojimi používateľmi v plnej hĺbke technickej úrovne Dohľad sa tiež zhodli, či už si to uvedomujú alebo nie, spolu s jeho potenciálom riskuje.

Je čas vyhodiť váš fitness tracker preč? Pravdepodobne nie, najmä ak máte Apple Watch Not The Apple Watch: 9 ďalších odevov vhodných pre iPhoneOznámenie Apple Watch bolo veľkou správou, ale nie je ani zďaleka jediným nositeľným zariadením navrhnutým na použitie s iPhone. Čítaj viac . Napriek zmiešaným reakciám na zistenia technickej správy od výrobcov sledovania fitnes nie je pravdepodobné, že tieto zraniteľné miesta budú existovať dlho.

Alebo môžeme aspoň dúfať, že nebudú dlho existovať.

Bojíte sa o svoj fitness sledovač? Stratili ste údaje prostredníctvom nositeľnej technológie? Čo sa stalo? Dajte nám vedieť nižšie!

Gavin je senior spisovateľom pre MUO. Je tiež editorom a správcom SEO pre sesterské stránky spoločnosti MakeUseOf zamerané na kryptografiu Blocks Decoded. Má BA (Hons) súčasné písanie s praxou digitálneho umenia drancované z kopcov Devonu, ako aj viac ako desaťročie profesionálneho písania. Má rád veľké množstvo čaju.