Seu rastreador de fitness está colocando sua segurança em risco?

Propaganda

Considerando de onde nossos dados vão vazar é uma tarefa difícil. Tomamos as precauções necessárias em todos os nossos dispositivos, instalando software antivírus, executando varreduras de malware e, com sorte, verificando duplamente e triplamente os e-mails em busca de algo suspeito. Esses são apenas alguns dos possíveis vetores de ataque que nos aguardam.

Pesquisadores de segurança revelaram que, além de nossos dispositivos "regulares", uma das mais novas formas de A tecnologia poderia estar fornecendo aos invasores um ângulo inesperado, mas de fácil acesso, para roubar nossos dados pessoais. Os rastreadores de condicionamento físico foram recentemente alvo de atenção de segurança após um relatório técnico destacar uma série de sérias falhas de segurança em seus projetos, teoricamente permitindo que possíveis invasores interceptem seus dados pessoais dados.

Falhas Fatais de Fitness

Rastreadores de fitness viram um aumento sem precedentes na popularidade 17 melhores aparelhos de saúde e fitness para melhorar seu corpo

Nos últimos anos, a inovação em torno de aparelhos de saúde e fitness explodiu. Aqui estão apenas algumas das incríveis peças de kit que você poderá usar para se sentir bem. consulte Mais informação ao longo dos últimos anos. Somente no 4º trimestre de 2015, houve um aumento maciço de 197% nas vendas ano a ano, de 7,1 milhões para 21 milhões de unidades. Analistas de mercado Parks Associates estimar o mercado global de rastreadores de fitness continuará a crescer, passando de US $ 2 bilhões em 2014 para US $ 5,4 bilhões em 2019. Esses são ganhos significativos, indicando o número de usuários potencialmente expostos a esse vetor de ataque anteriormente desconhecido.

Organização canadense de pesquisa sem fins lucrativos Efeito aberto, laboratório de pesquisa interdisciplinar Citizen Lab, examinou oito dos mais populares acessórios de fitness disponíveis atualmente: o Apple Watch, o Basis Peak, o Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 e Xiaomi Mi Banda.

o relatório de pesquisa combinado procurou descobrir as etapas que as empresas de tecnologia estão tomando para proteger e manter sua segurança de dados. Embora conheçamos e entendamos que os rastreadores de fitness coletam batimentos cardíacos, passos, calorias e sono dados, os pesquisadores exploraram exatamente o que acontece com esses dados quando estão nas mãos do dispositivo desenvolvedores.

Quais dados são enviados para um servidor remoto? Como as empresas de tecnologia protegem os dados? Com quem é compartilhado? Como as empresas realmente fazem uso das informações?

As principais conclusões incluíram:

• Sete em cada oito dispositivos de rastreamento de fitness emitem identificadores exclusivos persistentes (endereço do Bluetooth Media Access Control) que podem expor seus usuários ao rastreamento de longo prazo de sua localização quando o dispositivo não está emparelhado e conectado a um dispositivo móvel dispositivo.
• Os aplicativos Jawbone e Withings podem ser explorados para criar registros falsos de bandas de fitness. Esses registros falsos questionam a confiabilidade desses dados do rastreador de fitness em processos judiciais e programas de seguros.
• Os aplicativos Garmin Connect (iPhone e Android) e Withings Health Mate (Android) possuem vulnerabilidades de segurança que permitem a terceiros não autorizados ler, gravar e excluir usuários dados.
• O Garmin Connect não emprega práticas básicas de segurança de transmissão de dados para seus aplicativos iOS ou Android e, consequentemente, expõe as informações de condicionamento físico à vigilância ou adulteração.

Identificadores exclusivos persistentes

A tecnologia vestível emite um sinal Bluetooth persistente. Seja smartwatch ou rastreador de fitness, esse sinal é usado para se comunicar de forma consistente com seu smartphone. A comunicação deles com o dispositivo externo é mantido usando um endereço MAC (controle de acesso à mídia) Endereço IP e MAC: para que servem?A internet não é tão diferente do serviço postal regular. Em vez de um endereço residencial, temos endereços IP. Em vez de nomes, temos endereços MAC. Juntos, eles obtêm os dados à sua porta. Aqui está ... consulte Mais informação , identificando exclusivamente o rastreador de condicionamento físico.

No contexto dos rastreadores de fitness, a manutenção da segurança de dados pessoais exige que esses endereços sejam randomizados para garantir que o usuário não possa ser rastreado e identificado pelo endereço MAC. Os beacons Bluetooth, usados ​​com maior frequência nos shopping centers para criar publicidade móvel direcionada, podem rastrear e criar um perfil desses dispositivos usando um único endereço MAC (eles também podem ser construído por qualquer pessoa com um computador compacto adequado Crie um iBeacon DIY com um Raspberry PiAnúncios direcionados a um usuário em particular, andando por um centro metropolitano, são coisas de futuros distópicos. Mas esse não é um futuro distópico: a tecnologia já está aqui. consulte Mais informação ). De fato, dos dispositivos testados, apenas o Apple Watch selecionou aleatoriamente seu endereço MAC "em um intervalo de aproximadamente 10 minutos" para proteger a identidade de seu usuário.

Com o persistente endereço MAC registrado, a localização do usuário pode ser rastreada de beacon para beacon. Se um shopping center decidir coletar informações de localização do usuário durante sua visita de compras, os dados poderão ser vendidos para uma agência de marketing ou outro intermediário de dados, sem antes notificar o usuário. Se um único intermediário de dados puder comprar vários perfis, as informações poderão ser agrupadas para criar sofisticados perfis de publicidade direcionada, ativados sempre que o usuário (e seu identificador exclusivo de dispositivo) entra no construção.

Os aplicativos são tão ruins

Cada rastreador de fitness vem com seu próprio aplicativo de monitoramento, capturando a infinidade de dados relacionados ao fitness e convertendo-os em uma bela representação visual das ações dos usuários. No entanto, foi constatado que os aplicativos vazam informações pessoais em vários locais de transmissão.

Por exemplo, seria de esperar que qualquer transmissão de dados pessoais fosse criptografado usando HTTPS, no mínimo O que é HTTPS e como ativar conexões seguras por padrãoAs preocupações de segurança estão se espalhando por todo o mundo e alcançaram a vanguarda da mente de quase todos. Termos como antivírus ou firewall não são mais um vocabulário estranho e não são apenas entendidos, mas também usados ​​por ... consulte Mais informação ; o Garmin Connect não conseguiu fazer isso, deixando os dados do usuário expostos passivamente a um potencial interceptador.

Da mesma forma, embora o Bellabeat Leaf e o Withings Health Mate se comuniquem com servidores remotos usando HTTPS, ambos as empresas enviaram e-mails em texto sem formatação aos usuários para confirmar suas credenciais de inscrição, deixando os usuários abertos para o intermediário ataques. Qualquer invasor com um conhecimento prático da API Bellabeat ou Withings pode acessar uma ampla variedade de informações de condicionamento pessoal em minutos. Essa forma de ataque também pode ser usada para enviar dados maliciosos ou falsos para o wearable ou para o telefone do usuário.

Violação de dados

Três dos aplicativos de rastreador de fitness observados “eram vulneráveis ​​a um usuário motivado que cria dados de fitness gerados falsos para sua própria conta”, enganando os servidores da empresa a aceitar dados falsos. Efeito aberto e Citizen Lab criou vários aplicativos projetados para induzir os servidores de rastreadores de fitness a aceitar informações falsas, com Bellabeat LEAF, Jawbone UP e Withings Health Mate sendo insuficientes.

"Enviamos uma solicitação à Jawbone, informando que nosso usuário de teste executou dez bilhões de etapas em um único dia"

Sua aplicação distribuiu uniformemente os tempos das etapas em intervalos fixos durante um período de tempo desejado, criando uma distribuição artificial das etapas. Os pesquisadores concluíram que uma abordagem mais sofisticada “alocaria aleatoriamente etapas para estabelecer uma distribuição com aparência mais realista” para escapar ainda mais à detecção.

Por que isso é um problema?

Rastreadores de fitness podem manter um fluxo contínuo de coleta de dados pessoais Quanto de seus dados pessoais os dispositivos inteligentes podem rastrear?As preocupações com a privacidade e a segurança da casa inteligente ainda são tão reais quanto sempre. E mesmo que gostemos da ideia de tecnologia inteligente, essa é apenas uma das muitas coisas a ter em mente antes de mergulhar ... consulte Mais informação . Os vetores comuns de coleta de dados incluem passos, batimentos cardíacos, padrões de sono, elevação, geolocalizações, qualidade das atividades e tipos de atividades.

Alguns rastreadores de fitness incentivam seus usuários a se envolver em atividades sociais ou de fitness adicionais, como a especificação de alimentos para contagem e análise calorífica, humor pessoal em horários específicos do dia (também em relação a atividades e alimentação consumo), para registrar suas metas de condicionamento físico 10 modelos do Excel para rastrear sua saúde e fitness consulte Mais informação e acompanhar o progresso ao longo do tempo Acompanhe as principais áreas de sua vida em um minuto com o Google FormsÉ incrível o que você pode aprender sobre si mesmo quando dedica algum tempo a prestar atenção nos seus hábitos e comportamentos diários. Use o versátil Google Forms para acompanhar seu progresso com objetivos importantes. consulte Mais informação , ou para competir com outros entusiastas do fitness em ambientes de painel com estilo de mídia social gamificada Os melhores aplicativos de fitness social para malhar com amigos e familiaresOs aplicativos de fitness para mídias sociais podem ser uma das melhores maneiras de prestar contas aos seus amigos, mas você precisa encontrar o aplicativo que funciona melhor para você! consulte Mais informação .

As questões levantadas por Efeito aberto e Citizen Lab ilustram os perigos de contar com rastreadores de fitness para fornecer dados pessoais confiáveis ​​em várias situações. Os dados do rastreador de condicionamento físico foram usados ​​para proteger apólices de seguro ou representar o progresso feito com problemas médicos, mas vemos que os dados podem ser facilmente falsificados.

Além disso, esses problemas de dados tornam questionável a própria natureza dessas empresas de tecnologia de rastreadores de fitness? Como essas pobres tentativas de proteção de dados se traduzem em outros produtos? O problema não está vinculado apenas aos rastreadores de condicionamento físico e muito mais deve ser feito por cidadãos e reguladores para garantir os dados do usuário está protegido o tempo todo, para que não encontremos indústrias inteiras minadas por sua aparente falta de cuidado e discrição com empresas privadas. dados.

Qual o proximo?

As conclusões do relatório são claras: maior segurança com base nas recomendações da Efeito aberto e Citizen Lab. A segurança pessoal e privada é séria, e devemos resolver os problemas assim que chegarem. Mas não é apenas a segurança aprimorada necessária. Os usuários do rastreador de fitness precisam entender para onde seus dados são enviados, onde estão armazenados e quais outras partes têm acesso a eles.

O ônus é das empresas de tecnologia comunicarem com seus usuários toda a profundidade de vigilância que eles também concordaram, percebendo ou não, juntamente com seu potencial riscos.

Está na hora de jogar fora o seu rastreador de fitness? Provavelmente não, especialmente se você tiver um Apple Watch Não é o Apple Watch: 9 outros dispositivos vestíveis para iPhoneO anúncio do Apple Watch foi uma grande novidade, mas está longe de ser o único dispositivo vestível projetado para ser usado com um iPhone. consulte Mais informação . Apesar das reações contraditórias às conclusões do relatório técnico dos fabricantes de rastreadores de fitness, é improvável que essas vulnerabilidades existam por muito tempo.

Ou, pelo menos, podemos esperar que eles não existam por muito tempo.

Você está preocupado com o seu rastreador de fitness? Você perdeu dados através da tecnologia vestível? O que aconteceu? Deixe-nos saber abaixo!