Jak wiele o użytkowniku może powiedzieć jego smartwatch?

Autor opublikowano 29/05/2018 23:01
zdradliwy smartwatch

Nowe badanie Kaspersky Lab pokazuje, że smartwatche mogą stać się narzędziami do szpiegowania swoich właścicieli, ukradkowo gromadząc sygnały akcelerometru i żyroskopu, które – po odpowiedniej analizie – można przekształcić w zestawy danych unikatowych dla właściciela danego zegarka. Informacje te, w przypadku nadużycia, umożliwiają monitorowanie aktywności użytkownika, łącznie z wprowadzanymi wrażliwymi informacjami.

Badacze z Kaspersky Lab przyjrzeli się wpływowi, jaki na codzienne życie użytkowników oraz bezpieczeństwo ich informacji może mieć rozpowszechnienie Internetu Rzeczy.

W ostatnich latach branża cyberbezpieczeństwa wykazała, że prywatne dane użytkowników stają się bardzo cennym towarem ze względu na niemal nieograniczone możliwości wykorzystania ich do celów przestępczych – od wyrafinowanego cyfrowego profilowania ofiar cyberprzestępców po prognozy rynkowe dotyczące zachowania użytkowników. Jednak podczas gdy obawy konsumentów związane z nadużyciem informacji osobowych rosną i wielu z nich kieruje swoją uwagę na platformy online oraz metody gromadzenia danych, bez ochrony pozostają inne – mniej oczywiste – źródła zagrożeń. Na przykład, aby utrzymać zdrowy styl życia, wiele osób korzysta z pomocy urządzeń lub aplikacji służących do pomiaru aktywności fizycznej.

Inteligentne urządzenia noszone na sobie, w tym smartwatche oraz opaski fitnessowe, lub aplikacje do pomiaru aktywności fizycznej, są powszechnie wykorzystywane podczas aktywności sportowej w celu monitorowania zdrowia, otrzymywania powiadomień itd. W celu wykonywania swoich głównych funkcji większość tych urządzeń jest wyposażona we wbudowane czujniki przyspieszenia (akcelerometry), które często są połączone z czujnikami obrotu (żyroskopy) umożliwiającymi pomiar liczby kroków oraz określenie aktualnej pozycji użytkownika. Eksperci z Kaspersky Lab postanowili zbadać, jakie informacje dotyczące użytkownika mogą zostać przekazane przez takie czujniki nieupoważnionym osobom trzecim. W tym celu przyjrzeli się bliżej kilku smartwatchom różnych producentów.

Aby zbadać tę kwestię, eksperci opracowali dość prostą aplikację na smartwatcha, która rejestrowała sygnały z wbudowanych akcelerometrów oraz żyroskopów. Rejestrowane dane były następnie zapisywane do pamięci urządzenia lub przesyłane do sparowanego przy pomocy technologii Bluetooth smartfona.

Przy użyciu algorytmów matematycznych możliwe było zidentyfikowanie schematów zachowania, jak również kiedy, gdzie i jak długo użytkownicy byli w ruchu. Co najistotniejsze, można było zidentyfikować „wrażliwe” aktywności użytkownika, takie jak wprowadzanie hasła na komputerze (z dokładnością do 96%), wpisywanie PIN-u w bankomacie (dokładność około 87%) oraz odblokowywanie telefonu komórkowego (dokładność około 64%).

Wspomniany zestaw danych pozwala zatem na zdefiniowanie schematu zachowania unikatowego dla właściciela urządzenia. Jednak przy użyciu tych informacji potencjalny atakujący może pójść o krok dalej i spróbować zidentyfikować tożsamość użytkownika – za pośrednictwem adresu e-mail żądanego na etapie rejestracji aplikacji lub za pośrednictwem aktywowanego dostępu do danych uwierzytelniających do konta w systemie Android. Następnie zidentyfikowanie szczegółowych informacji dot. ofiary, w tym jej rutynowych czynności i momentów wprowadzania istotnych danych, to już tylko kwestia czasu. A biorąc pod uwagę rosnącą wartość prywatnych danych użytkowników, perspektywa wykorzystywania takich informacji przez osoby trzecie do osiągnięcia zysków nie wydaje się odległa.

Nawet jeśli cyberprzestępcy nie wykorzystają tych możliwości do zarabiania pieniędzy, ale do własnych szkodliwych celów, możliwe konsekwencje będą ograniczone jedynie ich wyobraźnią i poziomem wiedzy technicznej. Możliwe jest np. odszyfrowanie otrzymanych sygnałów przy użyciu sieci neuronowych, zastawienie pułapki na ofiary lub zmodyfikowanie bankomatu, z którego regularnie korzysta dana ofiara. Jak mogliśmy się już przekonać, przestępcy są w stanie uzyskać 80% dokładność podczas prób odszyfrowania sygnałów akcelerometru czy identyfikowania hasła lub kodu PIN wyłącznie przy użyciu danych zebranych z czujników smartwatcha.

Inteligentne urządzenia noszone na sobie to nie tylko miniaturowe gadżety, ale cyberfizyczne systemy, które potrafią rejestrować, przechowywać i przetwarzać rozmaite parametry związane z użytkownikiem. Z naszego badania wynika, że nawet bardzo proste algorytmy uruchomione na samym smartwatchu potrafią przechwytywać profil sygnałów akcelerometru oraz żyroskopu danego użytkownika. Profile te mogą zostać następnie wykorzystane do śledzenia aktywności użytkownika, w tym momentów wprowadzania wrażliwych danych. Wszystko to można wykonać za pośrednictwem legalnych aplikacji na smartwatche, które ukradkowo wysyłają osobom trzecim dane dotyczące określonych sygnałów – powiedział Siergiej Lurie, entuzjasta bezpieczeństwa oraz współautor badania, Kaspersky Lab.

Badacze z Kaspersky Lab zalecają użytkownikom zwracanie uwagi na następujące podejrzane sygnały podczas noszenia inteligentnych urządzeń.

  1. Aplikacja wysyła żądanie pobrania informacji dotyczących konta użytkownika – takie zdarzenie powinno wzbudzić niepokój, ponieważ przestępcy mogą łatwo stworzyć „cyfrowy odcisk palca” właściciela urządzenia.
  2. Niepokojącym sygnałem jest również żądanie przez aplikację zgody na wysyłanie danych geolokalizacyjnych. Aplikacjom nie należy udzielać dodatkowych zezwoleń na pomiar aktywności fizycznej pobierany na smartwatcha ani ustawiać swojego firmowego adresu e-mail jako loginu.
  3. Należy również zwracać uwagę na przyspieszone zużycie baterii urządzenia. Jeśli gadżet wyczerpuje się w ciągu zaledwie kilku godzin zamiast jednego dnia, należy sprawdzić, co tak naprawdę robi. Może rejestrować sygnały lub, co gorsza, wysyłać je na zewnątrz.

Źródło: Kaspersky Lab

Jak wiele o użytkowniku może powiedzieć jego smartwatch?
Oceń

 

Zaciekawiony światem nowości technologicznych. Twardo stąpający po ziemi fan gadżetów i marki Xiaomi.

Najnowsze posty

Icy Dock EZConvert Air MB382SP-3B – pełen oddech dla dysków

Icy Dock EZConvert Air MB382SP-3B to adapter przekształcający dysk 2,5″ tak, aby mieścił się w zatoce 3,5″. Akcesorium wyróżnia przewiewna

rabaty czastech

Drogi czytelniku… Mamy dla Ciebie niespodziankę! Uruchomiliśmy stronę o rabatach, kodach promocyjnych i zniżkach!

Otrzymujemy od Was wiele wiadomości w których pytacie się o kody i rabaty na smartfony i inne mobilne przedmioty. Dlatego

liczby ataków hakerskich

Żeby być bezpiecznym, należy dać się zhakować?

Każda firma, bez względu na wielkość i branżę, jest zagrożona atakiem hakerskim. Współcześnie udział w szkoleniu z RODO i hasła

green cell PGA 2018

Doładuj się na PGA 2018

Poznań Game Arena, czyli największe w Polsce targi gier komputerowych oraz technologii, co roku przyciągają rzesze fanów gamingu i urządzeń

klimatyzator ścienny czy przenośny

Wybieramy klimatyzator: ścienny czy przenośny?

Decydując się na urządzenie do naszego domu, rzadko kiedy zdajemy sobie sprawę jak wiele jest rodzajów danego urządzenia. Jak wybrać

Icy Dock MB994IKO-3SB

Icy Dock MB994IKO-3SB – dyski i napęd optyczny w jednej kieszeni

MB994IKO-3SB to wytrzymała, w pełni metalowa, podwójna kieszeń na 2,5-calowe dyski SATA/SAS i napęd optyczny (ODD) do użytku w pojedynczej

rcs google

Wykorzystaj technologię RCS od Google do komunikacji ze swoimi klientami

Specjaliści GSMA Intelligence szacują, że do 2020 r. na świecie będzie 4,3 miliarda urządzeń obsługujących SMS-y nowej generacji, czyli RCS

Spelling error report

The following text will be sent to our editors: