Il tuo tracker di fitness mette a rischio la tua sicurezza?
Considerare da dove i nostri dati stanno per perdere è un compito difficile. Prendiamo le precauzioni necessarie attraverso i nostri dispositivi, installando software antivirus, eseguendo scansioni di malware e, auspicabilmente, il doppio e il triplo controllo delle e-mail per qualsiasi cosa sospetta. Questi sono solo alcuni dei potenziali vettori di attacco che ci attendono.
I ricercatori di sicurezza hanno rivelato che oltre al nostro “regolare” dispositivi, una delle più nuove forme di tecnologia potrebbe fornire agli attaccanti un angolo inaspettato ma facilmente accessibile per rubare i nostri dati personali. Gli inseguitori di fitness sono recentemente rientrati sotto i riflettori della sicurezza dopo che un rapporto tecnico ha evidenziato una serie di gravi falle nella sicurezza dei loro progetti, in teoria consentendo ai potenziali aggressori di intercettare i dati personali.
Difetti di fitness fatali
I fitness tracker hanno visto un aumento senza precedenti della popolarità 17 migliori gadget per la salute e il fitness per migliorare il tuo corpo 17 I migliori gadget per la salute e il fitness per migliorare il tuo corpo Negli ultimi anni, l'innovazione attorno ai gadget per la salute e il fitness è esplosa. Ecco alcuni dei fantastici kit che potrai utilizzare per farti sentire bene. Leggi di più nel corso degli ultimi anni. Solo il 4 ° trimestre 2015 ha visto un aumento del 197% delle vendite anno su anno, da 7,1 milioni a 21 milioni di unità. Analisti di mercato Parks Associates stimare che il mercato globale del tracker di fitness continuerà a crescere, passando da $ 2 miliardi nel 2014 a $ 5,4 miliardi nel 2019. Si tratta di guadagni significativi, che indicano il numero di utenti che potenzialmente si espongono a questo vettore di attacco precedentemente sconosciuto.
Organizzazione di ricerca canadese senza scopo di lucro Effetto aperto, e laboratorio di ricerca interdisciplinare Citizen Lab, ha esaminato otto dei più popolari wearable fitness attualmente disponibili: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 e Xiaomi Mi Band.
Il rapporto di ricerca combinato ha cercato di scoprire i passi compiuti dalle aziende tecnologiche per proteggere e mantenere la sicurezza dei dati. Mentre sappiamo e comprendiamo che i tracker del fitness raccoglieranno battiti cardiaci, passi, calorie e dati sul sonno, i ricercatori hanno studiato cosa succede a quei dati quando è nelle mani degli sviluppatori di dispositivi.
Quali dati vengono inviati a un server remoto? Come fanno le aziende tecnologiche a proteggere i dati? Con chi è condiviso? In che modo le aziende effettivamente utilizzano le informazioni?
Risultati chiave inclusi:
- Sette degli otto dispositivi di tracciamento fitness emettono identificatori univoci persistenti (indirizzo Bluetooth Media Access Control) che possono esporre i loro portatori a tracciare a lungo termine la loro posizione quando il dispositivo non è accoppiato e connesso a un dispositivo mobile.
- Le applicazioni Jawbone e Withings possono essere sfruttate per creare record di bande di fitness false. Tali documenti falsi mettono in dubbio l'affidabilità dell'uso dei dati del fitness tracker nei casi giudiziari e nei programmi assicurativi.
- Le applicazioni Garmin Connect (iPhone e Android) e Withings Health Mate (Android) presentano vulnerabilità di sicurezza che consentono a una terza parte non autorizzata di leggere, scrivere ed eliminare i dati dell'utente.
- Garmin Connect non impiega pratiche di sicurezza di trasmissione dei dati di base per le sue applicazioni iOS o Android e di conseguenza espone le informazioni sull'idoneità alla sorveglianza o alla manomissione.
Identificatori univoci persistenti
La tecnologia indossabile emette un segnale Bluetooth persistente. Sia smartwatch che fitness tracker, questo segnale viene utilizzato per comunicare in modo coerente con lo smartphone. La loro comunicazione con il dispositivo esterno viene mantenuta utilizzando un indirizzo MAC (Media Access Control) Qual è un indirizzo MAC e può essere utilizzato per proteggere la rete domestica? [MakeUseOf Explains] Che cos'è un indirizzo MAC e può essere utilizzato per proteggere la rete domestica? [MakeUseOf Explains] La struttura e la gestione della rete hanno il loro linguaggio. Alcuni dei termini gettati probabilmente ti sembreranno già familiari. Ethernet e Wi-Fi sono concetti largamente ovvi, anche se potrebbe richiedere un po 'di più ... Per saperne di più, identificando in modo univoco il fitness tracker.
Nel contesto dei fitness tracker, la manutenzione della sicurezza dei dati personali richiede che questi indirizzi siano randomizzati per garantire che l'utente non possa essere inseguitore e identificato dall'indirizzo MAC. I beacon Bluetooth, utilizzati con sempre maggiore frequenza nei centri commerciali per creare pubblicità mobile mirata, possono tracciare e profilare i dispositivi utilizzando un unico indirizzo MAC (possono anche essere creati da chiunque con un computer compatto adatto Costruire un iBeacon fai-da-te con una build Raspberry Pi un iBeacon fai da te con un Raspberry Pi Gli annunci mirati a un particolare utente che cammina attraverso un centro metropolitano sono la roba del futuro distopico, ma questo non è affatto un futuro distopico: la tecnologia è già qui. In effetti, dei dispositivi testati solo l'Apple Watch ha randomizzato il suo indirizzo MAC “a un intervallo di circa 10 minuti” per proteggere la sua identità dell'utente.
Con il persistente indirizzo MAC registrato, la posizione dell'utente potrebbe essere tracciata da beacon a beacon. Se un centro commerciale decide di raccogliere informazioni sulla posizione dell'utente durante la propria visita di acquisto, i dati potrebbero essere venduti a un'agenzia di marketing o ad altri intermediari di dati, senza prima avvisare l'utente. Se un singolo broker di dati può acquistare più profili, le informazioni possono essere raccolte per creare sofisticati profili pubblicitari mirati, attivati ogni volta che l'utente (e il suo identificatore univoco) entra nell'edificio.
Le app sono altrettanto cattive
Ogni tracker del fitness viene fornito con la propria app di monitoraggio, che cattura la pletora di dati relativi al fitness e li traduce in una bella rappresentazione visiva delle azioni degli utenti. Tuttavia, è stato riscontrato che le app stesse perdono informazioni personali, in più punti di trasmissione.
Ad esempio, ci si aspetterebbe che qualsiasi trasmissione di dati personali sia crittografata utilizzando HTTPS per lo meno Cos'è HTTPS e Come abilitare connessioni sicure per impostazione predefinita Cos'è HTTPS e Come abilitare connessioni sicure Per default I problemi di sicurezza si stanno diffondendo in lungo e in largo hanno raggiunto la cima della mente di tutti. Termini come antivirus o firewall non sono più un vocabolario strano e non sono solo compresi, ma anche usati da ... Per saperne di più; Garmin Connect non è riuscito a fare altrettanto, lasciando i dati dell'utente passivamente esposti a un potenziale intercettatore.
Allo stesso modo, sebbene Bellabeat Leaf e Withings Health Mate comunichino con server remoti utilizzando HTTPS, entrambe le società hanno inviato e-mail in chiaro agli utenti per confermare le credenziali di registrazione, lasciando gli utenti aperti agli attacchi man-in-the-middle. Qualsiasi utente malintenzionato con una conoscenza pratica dell'API di Bellabeat o di Withings potrebbe accedere a un'ampia gamma di informazioni sull'allenamento personale in pochi minuti. Questa forma di attacco potrebbe anche essere utilizzata per inviare dati dannosi o falsi al dispositivo indossabile o al telefono dell'utente.
Manomissione dei dati
Sono state osservate tre delle app di fitness tracker “erano vulnerabili a un utente motivato che creava dati di fitness falsi generati per il proprio account,” ingannare i server aziendali nell'accettare dati falsi. Effetto aperto e Citizen Lab ha creato diverse applicazioni progettate per ingannare i server di fitness tracker nell'accettare false informazioni, con Bellabeat LEAF, Jawbone UP e Withings Health Mate in arrivo a breve.
“Abbiamo inviato una richiesta a Jawbone affermando che il nostro utente di test ha impiegato dieci miliardi di passaggi in un solo giorno”
La loro applicazione distribuiva uniformemente i tempi dei passi in intervalli fissi su un periodo di tempo desiderato, creando una distribuzione artificiale dei passaggi. I ricercatori hanno concluso un approccio più sofisticato “allocare casualmente i passaggi per stabilire una distribuzione dall'aspetto più realistico” per sfuggire al rilevamento.
Perché questo è un problema?
Gli inseguitori di fitness possono mantenere un flusso continuo di raccolta di dati personali. Quanti dei tuoi dati personali potrebbero monitorare gli smart device? Quanti dei tuoi dati personali potrebbero monitorare i dispositivi intelligenti? La privacy della casa intelligente e le preoccupazioni per la sicurezza sono ancora reali come sempre. E anche se amiamo l'idea della tecnologia intelligente, questa è solo una delle tante cose da sapere prima di immergersi ... Per saperne di più. I comuni vettori di raccolta dei dati includono passi, battito cardiaco, schemi di sonno, elevazione, geolocalizzazioni, qualità delle attività e tipi di attività.
Alcuni atleti di fitness incoraggiano i propri utenti a dedicarsi ad attività aggiuntive di fitness o sociali, come specificare il cibo per il conteggio e l'analisi del potere calorifico, l'umore personale in momenti specifici della giornata (anche in relazione alle attività e al consumo di cibo), per registrare la propria forma fisica obiettivi 10 modelli Excel per monitorare la salute e l'idoneità 10 modelli Excel per tracciare salute e benessere Leggi di più e monitora i progressi nel tempo Traccia le aree chiave della tua vita in 1 minuto con Google Forms Tieni traccia delle aree chiave della tua vita in 1 minuto con Google Forms È incredibile quello che puoi imparare su di te quando ti prendi il tempo per prestare attenzione alle tue abitudini e comportamenti quotidiani. Utilizza i versatili moduli Google per monitorare i tuoi progressi con obiettivi importanti. Per saperne di più, o per competere con altri appassionati di fitness in ambienti di cruscotto social media gamanced Le migliori app di social fitness per lavorare con gli amici e la famiglia Le migliori app di fitness sociale per allenarsi con gli amici e la famiglia Le app di social media fitness possono essere i modi migliori per rendere conto ai tuoi amici, ma devi trovare l'app che funziona meglio per te! Leggi di più .
Le questioni sollevate da Effetto aperto e Citizen Lab illustrare i pericoli nell'affidarsi ai fitness tracker per fornire dati personali affidabili in una vasta gamma di situazioni. I dati relativi al fitness tracker sono stati utilizzati per garantire polizze assicurative o rappresentare i progressi compiuti con problemi medici, tuttavia vediamo che i dati potrebbero essere facilmente falsificati.
Inoltre, questi problemi relativi ai dati rendono discutibile la natura stessa di queste società di tecnologia per il fitness tracker? In che modo questi poveri tentativi di protezione dei dati si traducono nei loro altri prodotti? Il problema non è legato esclusivamente ai tracker del fitness, e sia i cittadini che i regolatori dovrebbero fare di più per garantire che i dati degli utenti siano protetti in ogni momento, per non trovare interi settori indeboliti dalla loro apparente mancanza di attenzione e discrezione con i dati privati.
Cosa Avanti?
I risultati del rapporto sono chiari: maggiore sicurezza basata sulle raccomandazioni di Effetto aperto e Citizen Lab. La sicurezza personale e privata è seria e dovremmo affrontare i problemi non appena arrivano. Ma non è solo la sicurezza potenziata che è necessaria. Gli utenti di tracker fitness devono capire dove vengono inviati i loro dati, dove sono archiviati e quali altre parti hanno accesso ad essi.
L'onere è sulle aziende tecnologiche di comunicare con i loro utenti la profondità della sorveglianza tecnica che hanno acconsentito, che se ne rendano conto o no, insieme ai suoi potenziali rischi.
È tempo di buttare via il fitness tracker? Probabilmente no, soprattutto se hai un Apple Watch Not The Apple Watch: 9 Altri Wearable compatibili con iPhone Non Apple Watch: 9 Altri Wearable compatibili con iPhone L'annuncio di Apple Watch è stato una grande novità, ma è lontano dall'unico dispositivo indossabile progettato per essere utilizzato con un iPhone. Leggi di più . Nonostante le reazioni contrastanti ai risultati del rapporto tecnico dei produttori di inseguitori di fitness, è improbabile che queste vulnerabilità possano esistere a lungo.
Oppure, possiamo almeno sperare che non esisteranno a lungo.
Sei preoccupato per il tuo fitness tracker? Hai perso dati tramite la tecnologia indossabile? Quello che è successo? Facci sapere di seguito!
Scopri di più su: fitness, sicurezza online, tecnologia indossabile.