Вашият фитнес проследяване излага ли вашата сигурност на риск?

реклама

Да се ​​има предвид откъде ще изтекат нашите данни е трудна задача. Взимаме необходимите предпазни мерки на нашите устройства, инсталираме антивирусен софтуер, провеждаме сканиране на злонамерен софтуер и се надяваме двойно и трикратно да проверяваме имейлите за нещо подозрително. Това са само няколко от потенциалните вектори за атака, които ни очакват.

Изследователите по сигурността разкриха, че освен нашите „редовни“ устройства, една от най-новите форми на технологията може да предостави на нападателите неочакван, но лесно достъпен ъгъл, за да ни откраднат лични данни. Фитнес проследяващите наскоро попаднаха под светлината на прожекторите, след като технически доклад открои серия от сериозни пропуски в сигурността в дизайна им, теоретично позволявайки на потенциалните нападатели да ви пресекат личните данни.

Фатални недостатъци на фитнеса

Фитнес тракери са виждали безпрецедентен ръст на популярността 17 най-добри джаджи за здраве и фитнес за подобряване на тялото виПрез последните няколко години иновациите около джаджи за здраве и фитнес се взривиха. Ето само няколко от невероятните части от комплекта, които ще можете да използвате, за да се чувствате страхотно.

Прочетете още през последните няколко години. Само за 4-то тримесечие на 2015 г. се наблюдаваше значително увеличение на продажбите от 197% на годишна база от 7,1 милиона на 21 милиона бройки. Пазарни анализатори Паркове сътрудници преценете световния пазар на фитнес тракери ще продължи да расте, нараства от 2 милиарда долара през 2014 г. на 5,4 милиарда долара през 2019 година. Това са значителни печалби, показващи броя на потребителите, потенциално изложени на този неизвестен досега вектор на атака.

Канадска изследователска организация с нестопанска цел Отворен ефект, и интердисциплинарна изследователска лаборатория Citizen Lab, разгледа осем от най-популярните фитнес носими в момента: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, предпазител Mio, Withings Pulse O2 и Xiaomi Mi Банда.

Най- комбиниран доклад за изследване се стреми да открие стъпките, които технологичните компании предприемат, за да защитят и поддържат сигурността на вашите данни. Докато знаем и разбираме фитнес тракерите ще събират сърдечни ритми, стъпки, калории и сън данни, изследователите проучиха какво се случва с тези данни, когато те са в ръцете на устройството разработчиците.

Какви данни се изпращат на отдалечен сървър? Как технологичните компании защитават данните? С кого се споделя? Как компаниите всъщност използват информацията?

Основни констатации включват:

• Седем от осем устройства за проследяване на фитнес излъчват постоянни уникални идентификатори (адрес за контрол на достъпа до Bluetooth Media), които могат да излагат своите потребители на дългосрочно проследяване на тяхното местоположение, когато устройството не е сдвоено и свързано към мобилен телефон устройство.
• Приложенията на Jawbone и Withings могат да се използват за създаване на фалшиви записи за фитнес ленти. Подобни фалшиви записи поставят под въпрос надеждността на използването на данните за фитнес проследяване в съдебни дела и застрахователни програми.
• Приложенията Garmin Connect (iPhone и Android) и приложението Withings Health Mate (Android) имат уязвимости в сигурността, които позволяват на неоторизирана трета страна да чете, пише и изтрива потребител данни.
• Garmin Connect не използва основни практики за сигурност при предаване на данни за своите приложения за iOS или Android и следователно излага информация за фитнес на наблюдение или подправяне.

Устойчиви уникални идентификатори

Носимата технология излъчва постоянен Bluetooth сигнал. Независимо дали е smartwatch или фитнес проследяващ, този сигнал се използва за последователна комуникация с вашия смартфон. Тяхната комуникация с външното устройство е поддържа се с помощта на MAC (Контрол на достъпа до медиите) Адрес IP и MAC адрес: за какво са добри?Интернет не е толкова различен от обикновената пощенска услуга. Вместо домашен адрес имаме IP адреси. Вместо имена имаме MAC адреси. Заедно те получават данните на вашата врата. Ето ... Прочетете още , уникално идентифициращ фитнес тракера.

В контекста на фитнес тракери, поддръжката на сигурността на личните данни изисква тези адреси да бъдат рандомизирани, за да се гарантира, че потребителят не може да бъде проследяван и идентифициран от MAC адреса. Bluetooth маяци, използвани с все по-голяма честота в търговските центрове за създаване на насочена мобилна реклама, могат да проследяват и профилират тези устройства, използвайки един MAC адрес (те също могат да бъдат изграден от всеки с подходящ, компактен компютър Изградете DIY iBeacon с Raspberry PiРекламите, насочени към конкретен потребител, който минава през столичен център, са нещата от дистопични фючърси. Но това изобщо не е дистопично бъдеще: технологията вече е тук. Прочетете още ). Всъщност от тестваните устройства само Apple Watch рандомизира своя MAC адрес „на приблизително 10 минути интервал“, за да защити идентичността на своя потребител.

При регистриран постоянен MAC адрес местоположението на потребителя е възможно да бъде проследено от маяк до маяк. Ако търговски център реши да събере информация за местоположението на потребителя по време на посещението им в пазаруването, данните могат да бъдат продадени на маркетингова агенция или друг брокер на данни, без предварително да уведомява потребителя. Ако един брокер на данни може да закупи множество профили, информацията може да бъде съпоставена, за да се изгради сложна насочени рекламни профили, активирани всеки път, когато потребителят (и неговият уникален идентификатор на устройство) влиза в сграда.

Приложенията са също толкова лоши

Всеки фитнес тракер идва със собствено приложение за наблюдение, което улавя множество данни, свързани с фитнеса и ги превежда в приятно визуално изобразяване на действията на потребителите. Установено е обаче, че самите приложения изпускат лична информация на множество места за предаване.

Например, може да се очаква всяко предаване на лични данни криптиран с помощта на HTTPS най-малко Какво е HTTPS и как да активирате сигурните връзки по подразбиранеЗагрижеността за сигурността се разпространява далеч и широко и достига до челните места на ума на повечето. Термини като антивирусна или защитна стена вече не са странни речници и не само се разбират, но и се използват от ... Прочетете още ; Garmin Connect не успя дори да направи това, оставяйки потребителските данни пасивно изложени на потенциален подслушвател.

По същия начин, въпреки че Bellabeat Leaf и Withings Health Mate общуват с отдалечени сървъри, използвайки HTTPS, и двете компаниите изпратиха имейли с незабележими текстове до потребителите, за да потвърдят идентификационните си данни за регистрация, оставяйки потребителите отворени за „човек в средата“ атаки. Всеки нападател с познания по API на Bellabeat или Withings може за минути да получи широк спектър от лична информация за фитнес. Тази форма на атака може да се използва и за избутване на злонамерени или неверни данни към носимия или към телефона на потребителя.

Подправяне на данни

Три от наблюдаваните приложения за фитнес проследяване „са уязвими за мотивиран потребител, създаващ фалшиво генерирани данни за фитнес за собствения си акаунт“, като измамят фирмените сървъри да приемат фалшиви данни. Отворен ефект и Citizen Lab създадоха няколко приложения, предназначени да подмамят сървърите на фитнес тракера да приемат невярна информация, като Bellabeat LEAF, Jawbone UP и Withings Health Mate се появиха накратко.

„Изпратихме заявка до Jawbone, заявявайки, че нашият тестов потребител направи десет милиарда стъпки за един ден“

Приложението им равномерно разпределя стъпките във фиксирани интервали през желания период от време, създавайки изкуствено разпределение на етапите. Изследователите заключават, че по-сложен подход ще „разпредели на случаен принцип стъпки за установяване на по-реалистично изглеждащо разпределение“ за по-нататъшно откриване на бягство.

Защо това е проблем?

Фитнес тракерите могат поддържат непрекъснат поток от събиране на лични данни Колко от личните ви данни могат да проследят интелигентните устройства?Загрижеността за поверителността и сигурността на интелигентния дом все още е толкова реална, колкото винаги. И въпреки че обичаме идеята за интелигентните технологии, това е само едно от много неща, които трябва да сме наясно преди да се гмуркате ... Прочетете още . Общите вектори за събиране на данни включват стъпки, сърдечен ритъм, модели на сън, кота, геолокации, качество на дейностите и видове дейности.

Някои от фитнес проследяващите насърчават своите потребители да се занимават с допълнителни фитнес или социални дейности, като например посочване на храна за броене и анализ на калории, лично настроение в определени часове на деня (също във връзка с дейности и храна консумация), да запишат своите фитнес цели 10 шаблона на Excel за проследяване на вашето здраве и фитнес Прочетете още и проследяване на напредъка във времето Проследявайте ключови области от живота си за 1 минута с Google FormsУдивително е какво можете да научите за себе си, когато отделите време, за да обърнете внимание на ежедневните си навици и поведение. Използвайте универсалния Google Форми, за да проследите напредъка си с важни цели. Прочетете още или да се състезаваш срещу други любители на фитнеса във гамифицирани среди на таблото за управление, оформени в социални медии Най-добрите приложения за социален фитнес за работа с приятели и семействоФитнес приложенията за социални медии може да са един от най-добрите начини да бъдете отговорни пред приятелите си, но трябва да намерите приложението, което работи най-добре за вас! Прочетете още .

Въпросите, повдигнати от Отворен ефект и Citizen Lab илюстрират опасностите при разчитане на фитнес проследяващи, за да предоставят надеждни лични данни в редица ситуации. Данните за фитнес проследяване са използвани за осигуряване на застрахователни полици или представляват напредък, постигнат с медицински проблеми, но въпреки това виждаме, че данните могат лесно да бъдат фалшифицирани.

Освен това тези въпроси правят ли под въпрос самата природа на тези компании за фитнес проследяване? Как тези лоши опити за защита на данните се превеждат към останалите им продукти? Проблемът не е свързан само с фитнес проследяващите и повече трябва да се правят както от гражданите, така и от регулаторните органи, за да се осигурят потребителски данни е защитен по всяко време, за да не открием цели индустрии, подкопани от тяхната привидна липса на грижи и дискретност с частните данни.

Какво следва?

Констатациите на доклада са ясни: повишена сигурност въз основа на препоръките на Отворен ефект и Citizen Lab. Личната и частната сигурност са сериозни и трябва да се справим с проблемите при пристигането им. Но не е необходима само засилената сигурност. Потребителите на фитнес проследяване трябва да разберат къде се изпращат техните данни, къде се съхраняват и кои други страни имат достъп до тях.

Тежестта е на технологичните компании да комуникират с потребителите си пълната дълбочина на техническите наблюдение те също са се съгласили, независимо дали го осъзнават или не, заедно с неговия потенциал рискове.

Време ли е да изхвърлите фитнес тракера си? Вероятно не, особено ако имате Apple Watch Не Apple Watch: 9 други iPhone-удобни носимиАнонсът на Apple Watch беше голяма новина, но далеч не е единственото носимо устройство, предназначено да се използва с iPhone. Прочетете още . Въпреки смесените реакции към заключенията на техническия доклад от производителите на фитнес трекери, е малко вероятно тези уязвимости да съществуват дълго.

Или можем поне да се надяваме, че те няма да съществуват дълго.

Притеснявате ли се за вашия фитнес тракер? Загубили ли сте данни чрез носими технологии? Какво стана? Уведомете ни по-долу!