Comentează„Este cunoscut faptul că producătorii de dispozitive inteligente nu acordă prea mare atenție securității produselor pe care le dezvoltă sau ignoră cu desăvârșire acest aspect. Accesoriile inteligente, cum sunt brățările de fitness sau ceasurile, nu fac excepție, fiind vulnerabile, în cazul în care cineva vrea să folosească în mod rău intenționat datele personale pe care le colectează despre utilizator, dacă cere prea multe permisiuni în momentul instalării”, a declarat pentru Libertatea, Dan Demeter, cercetător în echipa globală de cercetare și analiză a Kaspersky Lab.
Potrivit expertului, în România, multe dintre smartwatch-urile din segmentul low cost provin din China, așa că pericolul la adresa datelor personale este și mai mare. Cu cât mai ieftine sunt produsele, cu atât sunt mai mari șansele de a avea probleme, inclusiv la capitolul protecția datelor personale.
„Le recomandăm utilizatorilor să nu ignore semnalele de alarmă că este o problemă cu o aplicație descărcată pe accesoriile lor inteligente. Dacă cere prea multe permisiuni, inclusiv accesul la date de geolocalizare, sau bateria se descarcă în numai câteva ore, probabil ceva este în neregulă și ar trebui să fie atenți la ceea ce fac în momentul în care poartă un smartwatch. De asemenea, credem că purtarea unui smartwatch poate fi un factor de risc pentru datele companiilor, așa că reprezentanții acestora pot lua în calcul reglementarea folosirii acestor accesorii la birou”, a mai declarat Dan Demeter.
Cum pot fi folosite datele împotriva noastră
Smartwatch-urile pot deveni instrumente de spionaj, prin simplul fapt că acestea pot colecta silențios semnalele accelerometrului și ale giroscopului. Aceste date pot fi transformate în seturi de date unice despre deținătorii ceasului.
Ele permit monitorizarea activităților utilizatorului, inclusiv introducerea de informații sensibile, și totul pentru că ne dorim un stil de viață sănătos. Ceasurile inteligente și tracker-ele de fitness, sunt foarte des folosite în activități sportive, pentru a ne monitoriza activitatea și a primi notificări.
Majoritatea acestor dispozitive sunt echipate cu senzori de accelerație integrați (accelerometru), care vin deseori alături de senzori de rotație (giroscop), pentru a număra pașii și a identifica poziția actuală a utilizatorului.
În acest scop, experții Kaspersky au dezvoltat o aplicație destul de simplă pentru smartwatch care înregistrează semnalele accelerometrelor și ale giroscoapelor integrate. Datele înregistrate sunt apoi salvate fie în memoria dispozitivului, fie încărcate prin Bluetooth pe telefonul mobil la care este conectat ceasul.
Se fură parolele și PIN-urile
Folosind algoritmi matematici disponibili în puterea de calcul a accesoriului smart, a fost posibilă identificarea tiparelor de comportament, a perioadelor când utilizatorii se mișcau, către ce și pentru cât timp. Și, cel mai important, a fost posibilă identificarea activităților sensibile ale utilizatorului, printre care introducerea unei fraze folosite ca parolă pe computer (cu o acuratețe de până la 96%), introducerea unui cod PIN la ATM (aproximativ 87%) și deblocarea telefonului mobil (aproximativ 64%).
Setul de date de semnal este în sine un tipar unic de comportament pe dispozitivul deținătorului. Folosindu-l, cineva ar putea merge mai departe și încerca să identifice identitatea unui utilizator – fie printr-o adresă de e-mail care a fost cerută în momentul înregistrării în aplicație, fie prin intermediului accesului la datele de autentificare ale contului Android. După aceea, este doar o problemă de timp până când sunt identificate informații amănunțite, inclusiv obiceiurile zilnice și momentele când introduc date importante.
Dar chiar dacă acest exploit nu este valorificat, ci folosit de infractorii cibernetici în alte scopuri, pot exista o mulțime de consecințe neplăcute. De exemplu, ar putea să fie decriptate semnalele primite folosind rețelele neuronale, să spioneze victimele sau să instaleze skimmere la ATM-urile la care victimele merg de obicei. Infractorii pot obține o acuratețe de 80% atunci când încearcă să decripteze semnalele accelerometrului și să identifice parola sau PIN-ul, folosind doar datele colectate de senzorii smartwatch-ului.