Varnostna tveganja pri uporabi pametnih fitnes zapestnic

10. April 2015 - 10:08

Fitnes sledilniki vseh vrst, ki ljudem pomagajo pri nadziranju njihove fizične aktivnosti in porabe kalorij ter s tem pri vzdrževanju telesne pripravljenosti, so postali zelo priljubljeni. Vendar take naprave obdelujejo pomembne osebne podatke svojih lastnikov, zato je treba zagotoviti, da so varne. Roman Unuchek, raziskovalec pri Kaspersky Labu, je proučil interakcijo fitnes zapestnic s pametnim telefonom in pri raziskovanju prišel do presenetljivih ugotovitev.

Raziskava je pokazala, da postopek overjanja povezave pri več priljubljenih pametnih zapestnicah tretjim osebam dopušča nevidno povezavo z napravo, izvrševanje ukazov in v nekaterih primerih celo pridobivanje podatkov, ki so shranjeni na napravi. Pri napravah, ki jih je v svoje raziskovanje vključil Kaspersky Labov raziskovalec Roman Unuchek, so bili ti podatki omejeni na število dejanj lastnika naprave v pretekli uri. Ker bodo fitnes zapestnice naslednjih generacij sposobne zbiranja večjega obsega bolj raznolikih podatkov, se lahko tveganje za zlorabo občutljivih zdravstvenih podatkov uporabnikov naprav znatno poveča.

Zlorabe so možne zaradi načina, na katerega se zapestnica poveže s pametnim telefonom. Sodeč po raziskavi se lahko naprave z operacijskim sistemom Android z različico 4.3 ali novejšo z zapestnicami različnih proizvajalcev povežejo prek posebne neavtorizirane namestitve aplikacije. Za vzpostavitev povezave morajo uporabniki potrditi povezovanje s pritiskom na gumb na zapestnici. Napadalci lahko ta korak preprosto obidejo, saj večina modernih fitnes zapestnic nima ekrana. Ko zapestnica z vibriranjem poziva lastnika k potrditvi povezave, žrtev ne more vedeti, ali gre za potrditev povezave z lastno napravo ali napravo tretje osebe.

»Dokaz koncepta je odvisen od veliko pogojev za njegovo pravilno delovanje in na koncu napadalec ne bi mogel dostopati do resnično pomembnih podatkov, kot so gesla in številke kreditnih kartic. Toda hkrati kaže na obstoj možnosti, da napadalec izkoristi napake razvijalcev naprave. Fitnes sledilniki so trenutno večinoma omejeni na štetje korakov in sledenje ciklom spanja uporabnika. Kljub temu pa so naslednje generacije tovrstnih naprav, ki bodo zmožne zbrati veliko več informacij o svojih uporabnikih, že pred vrati. Zato je pomembno pomisliti na varnost teh naprav že sedaj in zagotoviti ustrezno zaščito za povezovanje s pametnim telefonom,« je povedal Roman Unuchek, starejši analitik zlonamerne programske opreme pri Kaspersky Labu.

Strokovnjaki Kaspersky Laba uporabnikom pametnih zapestnic, ki so v skrbeh zaradi varnosti podatkov na svojih sledilnikov, svetujejo, naj pri prodajalcih preverijo, ali bi lahko bili tovrstni vdori možni tudi pri uporabi njihove naprave.