Cum poţi să fii urmărit cu ajutorul smartwatch-ului tău

24 06. 2018, 15:30
Aceste date, dacă sunt folosite în mod rău intenţionat, permit monitorizarea activităţilor utilizatorului, inclusiv introducerea de informaţii sensibile. Concluziile au rezultat în urma unei analize Kaspersky Lab despre impactul pe care proliferarea domeniului IOT îl poate avea asupra vieţii de zi cu zi a utilizatorilor şi asupra securităţii informaţiilor lor.

În ultimii ani, industria de securitate cibernetică a arătat că datele utilizatorilor individuali devin foarte valoroase, din cauză că pot fi folosite în nenumărate moduri de către infractorii cibernetici. Dar în timp ce paranoia utilizatorilor în legătură cu folosirea informaţiilor personale creşte, alte surse de ameninţare – mai puţin evidente – rămân neobservate. De exemplu, pentru un stil de viaţă sănătos, multe persoane folosesc tracker-e de fitness care să le monitorizeze mişcarea şi activităţile sportive. Dar există şi efecte negative. 

Accesoriile smart, printre care ceasurile inteligente şi tracker-ele de fitness, sunt foarte des folosite în activităţi sportive, pentru a ne monitoriza activitatea şi a primi notificări etc. Majoritatea acestor dispozitive sunt echipate cu senzori de acceleraţie integraţi (accelerometru), care vin deseori alături de senzori de rotaţie (giroscop), pentru a număra paşii şi a identifica poziţia actuală a utilizatorului. 

Cum te urmăresc

Experţii Kaspersky Lab au decis să examineze ce informaţii despre utilizator ar putea să ofere aceşti senzori unor terţe părţi neautorizate şi au studiat câteva mărci de smartwatch de la mai mulţi producători.
 
În acest scop, experţii au dezvoltat o aplicaţie destul simplă pentru smartwatch care înregistra semnalele accelerometrelor şi ale giroscoapelor integrate. Datele înregistrate au fost apoi salvate fie în memoria dispozitivului, fie încărcate prin Bluetooth pe telefonul mobil la care este conectat ceasul.
 
Folosind algoritmi matematici disponibili în puterea de calcul a accesoriului smart, a fost posibilă identificarea tiparelor de comportament, a perioadelor când utilizatorii se mişcau, către ce şi pentru cât timp. Cel mai important, a fost posibilă identificarea activităţilor sensibile ale utilizatorului, printre care introducerea unei fraze folosite ca parolă pe computer (cu o acurateţe de până la 96%), introducerea unui cod PIN la ATM (aproximativ 87%) şi deblocarea telefonului mobil (aproximativ 64%).
 
Setul de date de semnal este în sine un tipar unic de comportament pe dispozitivul deţinătorului. Folosindu-l, cineva ar putea merge mai departe şi încerca să identifice identitatea unui utilizator – fie printr-o adresă de e-mail care a fost cerută în momentul înregistrării în aplicaţie, fie prin intermediului accesului la datele de autentificare ale contului Android. După aceea, este doar o problemă de timp până când sunt identificate informaţii amănunţite, inclusiv obiceiurile zilnice şi momentele când introduc date importante. 

Consecinţele sunt neplăcute

Dar chiar dacă acest exploit nu este valorificat, ci folosit de infractorii cibernetici în alte scopuri, pot exista o mulţime de consecinţe neplăcute. De exemplu, ar putea să decripteze semnalele primite folosind reţelele neuronale, să spioneze victimele sau să instaleze skimmere la ATM-urile la care victimele merg de obicei. Am văzut deja cum infractorii pot obţine o acurateţe de 80% atunci când încearcă să decripteze semnalele accelerometrului şi să identifice parola sau PIN-ul, folosind doar datele colectate de senzorii smartwatch-ului.
 
 „Accesoriile smart nu sunt doar gadget-uri în miniatură, sunt sisteme ciber-fizice care pot înregistra, stoca şi procesa parametri fizici”, spune Sergey Lurye, co-autor al cercetării Kaspersky Lab. „Cercetarea noastră arătă că şi algoritmii foarte simpli care există pe smartwatch sunt capabili să contureze profilul unic al utilizatorului, format din semnale trimise de accelerometru şi giroscop. Aceste profiluri pot fi apoi folosite pentru a scoate utilizatorul din anonimat şi a-i urmări activităţile, inclusiv în momentele când introduce informaţii sensibile. Şi acest lucru poate fi făcut prin intermediul unor aplicaţii legitime de smartwatch care trimit în secret date către terţi,” mai spune acesta.

Care sunt factorii de risc

Cercetătorii Kaspersky Lab le recomandă utilizatorilor să fie atenţi la următoarele lucruri atunci când poartă dispozitive inteligente: 
 
1) Dacă aplicaţia trimite o cerere de a recupera informaţiile din contul utilizatorului, este un motiv de îngrijorare – pentru că infractorii ar putea foarte uşor să creeze o „amprentă digitală” a posesorului. 
 
2) Dacă aplicaţia cere şi permisiunea de a trimite date de geolocalizare, ar trebui să vă îngrijoraţi. Nu le acordaţi tracker-elor de fitness pe care le descărcaţi pe smartwatch, permisiuni suplimentare, nici nu vă setaţi adresa de e-mail de birou atunci când vă înregistraţi. 
 
3) Consumarea rapidă a bateriei dispozitivului poate fi, de asemenea, un motiv serios de îngrijorare. Dacă rămâneţi fără baterie în doar câteva ore în loc de o zi, ar trebui să verificaţi ce se întâmplă, de fapt. S-ar putea să scrie jurnale de semnal sau, şi mai rău, să le trimită în altă parte.