O cercetare recenta arata ca ceasurile inteligente pot deveni instrumente de spionaj, colectand silentios semnalele accelerometrului si ale giroscopului care – dupa o analiza atenta – ar putea fi transformate in seturi de date unice despre detinatorii ceasului. Aceste date, daca sunt folosite in mod rau intentionat, permit monitorizarea activitatilor utilizatorului, inclusiv introducerea de informatii sensibile. Concluziile au rezultat in urma unei analize Kaspersky Lab despre impactul pe care proliferarea domeniului IOT il poate avea asupra vietii de zi cu zi a utilizatorilor si asupra securitatii informatiilor lor.
In ultimii ani, industria de securitate cibernetica a aratat ca datele utilizatorilor individuali devin foarte valoroase, din cauza ca pot fi folosite in nenumarate moduri de catre infractorii cibernetici. Dar in timp ce paranoia utilizatorilor in legatura cu folosirea informatiilor personale creste, alte surse de amenintare – mai putin evidente – raman neobservate. De exemplu, pentru un stil de viata sanatos, multe persoane folosesc tracker-e de fitness care sa le monitorizeze miscarea si activitatile sportive. Dar exista si efecte negative.
Accesoriile smart, printre care ceasurile inteligente si tracker-ele de fitness, sunt foarte des folosite in activitati sportive, pentru a ne monitoriza activitatea si a primi notificari etc. Majoritatea acestor dispozitive sunt echipate cu senzori de acceleratie integrati (accelerometru), care vin deseori alaturi de senzori de rotatie (giroscop), pentru a numara pasii si a identifica pozitia actuala a utilizatorului. Expertii Kaspersky Lab au decis sa examineze ce informatii despre utilizator ar putea sa ofere acesti senzori unor terte parti neautorizate si au studiat cateva marci de smartwatch de la mai multi producatori.
In acest scop, expertii au dezvoltat o aplicatie destul simpla pentru smartwatch care inregistra semnalele accelerometrelor si ale giroscoapelor integrate. Datele inregistrate au fost apoi salvate fie in memoria dispozitivului, fie incarcate prin Bluetooth pe telefonul mobil la care este conectat ceasul.
Folosind algoritmi matematici disponibili in puterea de calcul a accesoriului smart, a fost posibila identificarea tiparelor de comportament, a perioadelor cand utilizatorii se miscau, catre ce si pentru cat timp. Cel mai important, a fost posibila identificarea activitatilor sensibile ale utilizatorului, printre care introducerea unei fraze folosite ca parola pe computer (cu o acuratete de pana la 96%), introducerea unui cod PIN la ATM (aproximativ 87%) si deblocarea telefonului mobil (aproximativ 64%).
Setul de date de semnal este in sine un tipar unic de comportament pe dispozitivul detinatorului. Folosindu-l, cineva ar putea merge mai departe si incerca sa identifice identitatea unui utilizator – fie printr-o adresa de e-mail care a fost ceruta in momentul inregistrarii in aplicatie, fie prin intermediului accesului la datele de autentificare ale contului Android. Dupa aceea, este doar o problema de timp pana cand sunt identificate informatii amanuntite, inclusiv obiceiurile zilnice si momentele cand introduc date importante.
Dar chiar daca acest exploit nu este valorificat, ci folosit de infractorii cibernetici in alte scopuri, pot exista o multime de consecinte neplacute. De exemplu, ar putea sa decripteze semnalele primite folosind retelele neuronale, sa spioneze victimele sau sa instaleze skimmere la ATM-urile la care victimele merg de obicei. Am vazut deja cum infractorii pot obtine o acuratete de 80% atunci cand incearca sa decripteze semnalele accelerometrului si sa identifice parola sau PIN-ul, folosind doar datele colectate de senzorii smartwatch-ului.
„Accesoriile smart nu sunt doar gadget-uri in miniatura, sunt sisteme ciber-fizice care pot inregistra, stoca si procesa parametri fizici”, spune Sergey Lurye, co-autor al cercetarii Kaspersky Lab. „Cercetarea noastra arata ca si algoritmii foarte simpli care exista pe smartwatch sunt capabili sa contureze profilul unic al utilizatorului, format din semnale trimise de accelerometru si giroscop. Aceste profiluri pot fi apoi folosite pentru a scoate utilizatorul din anonimat si a-i urmari activitatile, inclusiv in momentele cand introduce informatii sensibile. Si acest lucru poate fi facut prin intermediul unor aplicatii legitime de smartwatch care trimit in secret date catre terti.”
Cercetatorii Kaspersky Lab le recomanda utilizatorilor sa fie atenti la urmatoarele lucruri atunci cand poarta dispozitive inteligente:
1) Daca aplicatia trimite o cerere de a recupera informatiile din contul utilizatorului, este un motiv de ingrijorare – pentru ca infractorii ar putea foarte usor sa creeze o „amprenta digitala” a posesorului.
2) Daca aplicatia cere si permisiunea de a trimite date de geolocalizare, ar trebui sa va ingrijorati. Nu le acordati tracker-elor de fitness pe care le descarcati pe smartwatch, permisiuni suplimentare, nici nu va setati adresa de e-mail de birou atunci cand va inregistrati.
3) Consumarea rapida a bateriei dispozitivului poate fi, de asemenea, un motiv serios de ingrijorare. Daca ramaneti fara baterie in doar cateva ore in loc de o zi, ar trebui sa verificati ce se intampla, de fapt. S-ar putea sa scrie jurnale de semnal sau, si mai rau, sa le trimita in alta parte.
Pentru detalii despre urmarirea prin intermediul accesoriilor smart, cititi articolul de pe Securelist.com.