Фитнес-трекеры угрожают безопасности личных данных

Четверг, 26 марта 2015 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Носимая электроника набирает все большую популярность, в том числе не только смарт-часы, но и фитнес-браслеты. Однако, как выяснилось, трекинг физической активности владельцев таких гаджетов может быть доступен не только непосредственно пользователю, но и сторонним лицам.



Эксперты «Лаборатории Касперского» в ходе изучения способов взаимодействия фитнес-трекеров со смартфонами выяснили, что метод аутентификации подключаемого устройства, реализованный в нескольких популярных фитнес-браслетах, дает сторонним людям возможность незаметно подсоединиться к смартфону, выполнить ряд команд и даже извлечь хранимые в гаджете данные. Для эксперимента представитель «Лаборатории Касперского» создал приложение, которое автоматически искало Bluetooth LE устройства (наиболее распространенный способ соединения фитнес-трекеров со смартфонами), пыталось к ним подключиться и получить их список сервисов. 

За два часа в московском метро удалось подключиться к 11 браслетам FitBit и 8 Jawbone, в фитнес-клубе (где сконцентрировано больше пользователей таких девайсов) в США за час было обнаружено 20 Fitbit и по одному — Nike, Jawbone, Microsoft, Polar, Quans, а на саммите по безопасности «Лаборатории» удалось таким образом за два часа установить соединение с 10 фитнес-трекерами: 3 Jawbone и 7 FitBit. Для выполнения соответствующих манипуляций необходим смартфон с Android 4.3 и выше и неавторизованное приложение для синхронизации с фитнес-трекером.

 

Статистика Kaspersky Security Network по установкам на мобильные устройства пользователей приложений под Android для работы с популярными фитнес-трекерами

Что еще более интересно, большое число подключений удалось совершить, несмотря на два заметных ограничения: реальное максимальное расстояние, возможное для подключений в большинстве случаев — не больше 6 метров, а также невозможность установить соединение с уже подключенным к смартфону пользователя устройством. Тем не менее, второй пункт в ходе эксперимента удалось обойти на браслете эксперта — ему удалось заблокировать коммуникацию между браслетом и официальным приложением, хотя они заранее были спарены.

В ходе эксперимента, была совершена расширенная проверка уязвимости на Jawbone. Как заверяет эксперт, процесс получения данных не вызывает серьезных трудностей: «После аутентификации на устройстве легко выполнять команды. Например, для того, чтобы поменять время, нужно отправить на устройство массив байт, начинающийся с f0020c, а затем дату в виде YYYY MM DD DW HH MM SS MSMSMSMS. В случае с другими фитнес-трекерами все еще проще: для FitBit часть данных доступна сразу после подключения, а код приложения для Nike даже не обфусцирован и читается очень легко».



Для установления соединения между фитнес-трекером и смартфоном пользователь должен подтвердить это действие, нажав соответствующую кнопку на браслете. А поскольку большинство этих гаджетов сегодня не имеет экранов, злоумышленники могут легко обходить это необходимое условие: когда фитнес-браслет вибрирует, запрашивая подтверждение соединения со смартфоном, пользователь не может знать, идет ли речь о его собственном телефоне или о каком-то другом. Необходимо только подгадать момент либо постоянно подавать запрос авторизации, пока пользователь не нажмет клавишу. 

«Конечно, подобные риски не кажутся столь существенными в сравнении с угрозой утечки действительно критически важной информации, например, паролей или данных банковских карт. Однако проведенный нами эксперимент говорит о том, что популярные электронные устройства имеют незакрытые уязвимости, которыми могут воспользоваться злоумышленники… уже сегодня стоит озаботиться вопросами обеспечения их безопасности, в частности разработать защищенный способ синхронизации спортивных браслетов и смартфонов», — отмечает Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

«Если взломан браслет с датчиком пульса, владелец магазина может следить за частотой пульса покупателя, пока тот смотрит на скидки в его магазине. Так же можно узнавать реакцию людей на рекламу. Более того, взломанный браслет с датчиком пульса можно использовать в качестве детектора лжи». 

Спортивные браслеты в ходе данного эксперимента при синхронизации со смартфоном передавали лишь информацию о количестве шагов, сделанных пользователем, к тому же, ряд девайсов не хранит данные в своей памяти или смартфонах — официальное приложение регулярно переносит всю информацию с браслета в облако. Однако трекеры следующего поколения будут собирать гораздо больше данных о физическом состоянии человека, а значит риск утечки конфиденциальной информации может заметно увеличиться.

Выбирайте, сравнивайте и покупайте технику по хорошим ценам в нашем каталоге

Александр Городников, ht_news@corp.mail.ru

Источник:  Лаборатория Касперского

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 982
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003