- 15 Iunie 2018
Ce spune smartwatch-ul de la încheietură despre tine
Dacă sunt folosite în mod rău intenționat, aceste date permit monitorizarea activităților utilizatorului, inclusiv introducerea de informații sensibile.
În ultimii ani, industria de securitate cibernetică a arătat că datele utilizatorilor individuali devin foarte valoroase, din cauză că pot fi folosite în nenumărate moduri de către infractorii cibernetici. Dar în timp ce paranoia utilizatorilor în legătură cu folosirea informațiilor personale crește, alte surse de amenințare – mai puțin evidente – rămân neobservate. De exemplu, pentru un stil de viață sănătos, multe persoane folosesc trackere de fitness care să le monitorizeze mișcarea și activitățile sportive. Dar există și efecte negative.
Accesoriile smart, printre care ceasurile inteligente și trackerele de fitness, sunt foarte des folosite în activități sportive, pentru a ne monitoriza activitatea și a primi notificări. Majoritatea acestor dispozitive sunt echipate cu senzori de accelerație integrați (accelerometru), care vin deseori alături de senzori de rotație (giroscop), pentru a număra pașii și a identifica poziția actuală a utilizatorului.
Experții Kaspersky Lab au decis să examineze ce informații despre utilizator ar putea să ofere acești senzori unor terțe părți neautorizate și au studiat câteva mărci de smartwatch de la mai mulți producători.
În acest scop, experții au dezvoltat o aplicație destul simplă pentru smartwatch care înregistra semnalele accelerometrelor și ale giroscoapelor integrate. Datele înregistrate au fost apoi salvate fie în memoria dispozitivului, fie încărcate prin Bluetooth pe telefonul mobil la care este conectat ceasul.
Folosind algoritmi matematici disponibili în puterea de calcul a accesoriului smart, a fost posibilă identificarea tiparelor de comportament, a perioadelor când utilizatorii se mișcau, către ce și pentru cât timp. Cel mai important, a fost posibilă identificarea activităților sensibile ale utilizatorului, printre care introducerea unei fraze folosite ca parolă pe computer (cu o acuratețe de până la 96%), introducerea unui cod PIN la ATM (aproximativ 87%) și deblocarea telefonului mobil (aproximativ 64%).
Cercetarea noastră arătă că și algoritmii foarte simpli care există pe smartwatch sunt capabili să contureze profilul unic al utilizatorului, format din semnale trimise de accelerometru și giroscop
Setul de date de semnal este în sine un tipar unic de comportament pe dispozitivul deținătorului. Folosindu-l, cineva ar putea merge mai departe și încerca să identifice identitatea unui utilizator – fie printr-o adresă de e-mail care a fost cerută în momentul înregistrării în aplicație, fie prin intermediului accesului la datele de autentificare ale contului Android. După aceea, este doar o problemă de timp până când sunt identificate informații amănunțite, inclusiv obiceiurile zilnice și momentele când introduc date importante.
Dar chiar dacă acest exploit nu este valorificat, ci folosit de infractorii cibernetici în alte scopuri, pot exista o mulțime de consecințe neplăcute. De exemplu, ar putea să decripteze semnalele primite folosind rețelele neuronale, să spioneze victimele sau să instaleze skimmere la ATM-urile la care victimele merg de obicei. Am văzut deja cum infractorii pot obține o acuratețe de 80% atunci când încearcă să decripteze semnalele accelerometrului și să identifice parola sau PIN-ul, folosind doar datele colectate de senzorii smartwatch-ului.
”Accesoriile smart nu sunt doar gadget-uri în miniatură, sunt sisteme ciber-fizice care pot înregistra, stoca și procesa parametri fizici”, spune Sergey Lurye, co-autor al cercetării Kaspersky Lab. ”Cercetarea noastră arătă că și algoritmii foarte simpli care există pe smartwatch sunt capabili să contureze profilul unic al utilizatorului, format din semnale trimise de accelerometru și giroscop. Aceste profiluri pot fi apoi folosite pentru a scoate utilizatorul din anonimat și a-i urmări activitățile, inclusiv în momentele când introduce informații sensibile. Și acest lucru poate fi făcut prin intermediul unor aplicații legitime de smartwatch care trimit în secret date către terți.”
Cercetătorii Kaspersky Lab le recomandă utilizatorilor să fie atenți la următoarele lucruri atunci când poartă dispozitive inteligente:
- Dacă aplicația cere și permisiunea de a trimite date de geolocalizare, ar trebui să vă îngrijorați. Nu le acordați tracker-elor de fitness pe care le descărcați pe smartwatch, permisiuni suplimentare, nici nu vă setați adresa de e-mail de birou atunci când vă înregistrați.
- Dacă aplicația trimite o cerere de a recupera informațiile din contul utilizatorului, este un motiv de îngrijorare – pentru că infractorii ar putea foarte ușor să creeze o „amprentă digitală” a posesorului.
- Consumarea rapidă a bateriei dispozitivului poate fi, de asemenea, un motiv serios de îngrijorare. Dacă rămâneți fără baterie în doar câteva ore în loc de o zi, ar trebui să verificați ce se întâmplă, de fapt. S-ar putea să scrie jurnale de semnal sau, și mai rău, să le trimită în altă parte.