Τα smartwatches μπορούν να γίνουν εργαλεία κατασκοπείας σε βάρος των χρηστών τους, σύμφωνα με νέα έρευνα της Kaspersky Lab για τον αντίκτυπο που μπορεί να έχει η διεύρυνση του Internet of Things στην καθημερινή ζωή των χρηστών και στην ασφάλεια των πληροφοριών τους.
Συλλέγοντας σιωπηλά σήματα επιταχυνσιόμετρου και γυροσκοπίου, μοναδικά για κάθε χρήστη smartwatch, τα δεδομένα αυτά επιτρέπουν την παρακολούθηση των δραστηριοτήτων μας, συμπεριλαμβανομένης της εισαγωγής ευαίσθητων πληροφοριών.
Τα τελευταία χρόνια, ο κλάδος της ψηφιακής ασφάλειας έχει δείξει ότι τα ιδιωτικά δεδομένα των χρηστών καθίστανται ένα πολύτιμο προϊόν λόγω των σχεδόν απεριόριστων εγκληματικών χρήσεων που μπορεί να έχουν- από εξελιγμένο ψηφιακό προφίλ των θυμάτων των ψηφιακών εγκληματιών μέχρι προβλέψεις της αγοράς για τη συμπεριφορά των χρηστών.
Ενώ η αγωνία των χρηστών για την κατάχρηση των προσωπικών τους πληροφοριών αυξάνεται, λιγότερο προφανείς πηγές απειλής παραμένουν ανεξέλεγκτες.
Οι «έξυπνες» φορητές συσκευές όπως smartwatches και τα fitness trackers, χρησιμοποιούνται ευρέως σε αθλητικές δραστηριότητες, παρακολουθούν την υγεία μας και λαμβάνουν push notifications.
Για την εκτέλεση των κύριων λειτουργιών τους, οι περισσότερες από αυτές τις συσκευές είναι εξοπλισμένες με ενσωματωμένους αισθητήρες επιτάχυνσης (επιταχυνσιόμετρα), οι οποίοι συχνά συνδυάζονται με αισθητήρες περιστροφής (γυροσκόπια) για μέτρηση βημάτων και προσδιορισμό της τρέχουσας θέσης του χρήστη.
Οι ειδικοί της Kaspersky Lab αποφάσισαν να εξετάσουν ποιες πληροφορίες χρηστών θα μπορούσαν να παράσχουν αυτοί οι αισθητήρες σε μη εξουσιοδοτημένους τρίτους και εξέτασαν πιο προσεκτικά διάφορα smartwatches από διάφορους πωλητές.
Για να εξετάσουν το ζήτημα, οι ειδικοί ανέπτυξαν μια αρκετά απλή εφαρμογή smartwatch που κατέγραψε σήματα από ενσωματωμένα επιταχυνσιόμετρα και γυροσκόπια. Στη συνέχεια, τα καταγεγραμμένα δεδομένα αποθηκεύτηκαν είτε στη μνήμη της φορητής συσκευής, είτε μεταφορτώθηκαν στο κινητό τηλέφωνο με Bluetooth.
Χρησιμοποιώντας μαθηματικούς αλγόριθμους που είναι διαθέσιμοι στην υπολογιστική ισχύ του wearable, ήταν δυνατό να προσδιοριστούν τα πρότυπα συμπεριφοράς, οι χρονικές περιόδοι όποτε και που οι χρήστες κινούνταν και πόσο καιρό το κάνουν.
Εκτεθειμένα τα PIN και οι κωδικοί
Το πιο σημαντικό ήταν να εντοπιστούν ευαίσθητες δραστηριότητες των χρηστών, συμπεριλαμβανομένης της εισαγωγής μιας φράσης πρόσβασης στον υπολογιστή (με ακρίβεια έως και 96%), εισαγωγή κωδικού PIN στο ΑΤΜ (περίπου 87%) και ξεκλείδωμα του κινητού τηλεφώνου (περίπου 64%).
Το ίδιο το σύνολο δεδομένων σήματος είναι ένα πρότυπο συμπεριφοράς μοναδικό για τον ιδιοκτήτη της συσκευής.
Χρησιμοποιώντας αυτό, κάποιος τρίτος μπορεί να προχωρήσει περισσότερο και να προσπαθήσει να εντοπίσει την ταυτότητα ενός χρήστη - είτε μέσω μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου που ζητήθηκε στο στάδιο εγγραφής της εφαρμογής, είτε μέσω ενεργοποιημένης πρόσβασης σε στοιχεία σύνδεσης λογαριασμού Android.
Μετά από αυτό, είναι μόνο θέμα χρόνου μέχρι να προσδιοριστούν οι λεπτομερείς πληροφορίες του θύματος, συμπεριλαμβανομένων των ημερήσιων ρουτινών και των στιγμών κατά τις οποίες εισέρχονται σημαντικά δεδομένα.
Οι πιθανές συνέπειες από αυτό το κενό, περιορίζονται μόνο από τη φαντασία και το επίπεδο τεχνικών γνώσεών των χάκερ.
Για παράδειγμα, θα μπορούσαν να αποκρυπτογραφήσουν τα λαμβανόμενα σήματα χρησιμοποιώντας νευρωνικά δίκτυα, να παραμονεύουν τα θύματα ή να εγκαταστήσουν skimmers στα αγαπημένα τους ΑΤΜ.
Ήδη οι «ψηφιακοί» εγκληματίες μπορούν να επιτύχουν ακρίβεια 80% όταν προσπαθούν να αποκρυπτογραφήσουν σήματα απο επιταχυνσιόμετρο και να αναγνωρίσουν τον κωδικό πρόσβασης ή τον κωδικό PIN χρησιμοποιώντας μόνο τα δεδομένα που συλλέγονται από τους αισθητήρες των smartwatch.
«Τα έξυπνα wearable δεν είναι απλώς μικροσκοπικά gadgets, είναι ψηφιακά-φυσικά συστήματα που μπορούν να καταγράφουν, να αποθηκεύουν και να επεξεργάζονται φυσικές παραμέτρους. Η έρευνά μας δείχνει ότι ακόμη και πολύ απλοί αλγόριθμοι, που τρέχουν στο ίδιο το smartwatch, είναι σε θέση να καταγράψουν το προφίλ του μοναδικού χρήστη των σημάτων επιταχυνσιόμετρου και γυροσκοπίου. Αυτά τα προφίλ μπορούν στη συνέχεια να χρησιμοποιηθούν για να άρουν την ανωνυμία του χρήστη και να παρακολουθήσουν τις δραστηριότητές του, συμπεριλαμβανομένων των στιγμών εισαγωγής ευαίσθητων πληροφοριών. Και αυτό μπορεί να γίνει μέσω νόμιμων εφαρμογών smartwatch που στέλνουν κρυφά δεδομένα σήματος σε τρίτους», δήλωσε ο Sergey Lurye, ένας από τους συγγραφείς της έρευνας της Kaspersky Lab.
Οι ερευνητές της Kaspersky Lab συμβουλεύουν τους χρήστες να προσέχουν τις ακόλουθες ιδιαιτερότητες όταν φοράνε «έξυπνες» συσκευές:
1) Εάν η εφαρμογή αποστέλλει αίτημα για την ανάκτηση πληροφοριών λογαριασμού χρήστη, αυτό θα πρέπει να σας προκαλέσει ανησυχία - επειδή οι εγκληματίες θα μπορούσαν εύκολα να δημιουργήσουν ένα "ψηφιακό αποτύπωμα" του ιδιοκτήτη τους.
2) Αν η εφαρμογή απαιτεί επίσης την άδεια για αποστολή δεδομένων γεωγραφικής κατανομής, τότε θα πρέπει να ανησυχείτε. Μην δίνετε στα fitness trackers που κατεβάζετε στο smartwatch σας πρόσθετα δικαιώματα ή ορίζετε το εταιρικό σας email ως στοιχείο σύνδεσης σας.
3) Η γρήγορη κατανάλωση μπαταρίας της συσκευής μπορεί επίσης να αποτελέσει σοβαρή αιτία ανησυχίας. Αν η μπαταρία του gadget σας τελειώνει μέσα σε λίγες ώρες αντί για μια μέρα, θα πρέπει να ελέγξετε τι κάνει πραγματικά. Ίσως να κρατάει αρχεία καταγραφής σημάτων ή, χειρότερα, να τα στέλνει αλλού.
σχόλια