So fitnes sledilniki dovolj varni?
10. april 2015
Fitnes sledilniki vseh vrst, ki ljudem pomagajo pri nadziranju njihove fizične aktivnosti in porabe kalorij ter s tem pri vzdrževanju telesne pripravljenosti, so postali zelo priljubljeni. Vendar take naprave obdelujejo pomembne osebne podatke svojih lastnikov, zato je treba zagotoviti, da so varne. Roman Unuchek, raziskovalec pri Kaspersky Labu, je proučil interakcijo fitnes zapestnic s pametnim telefonom in pri raziskovanju prišel do presenetljivih ugotovitev.
Raziskava je pokazala, da postopek overjanja povezave pri več priljubljenih pametnih zapestnicah tretjim osebam dopušča nevidno povezavo z napravo, izvrševanje ukazov in v nekaterih primerih celo pridobivanje podatkov, ki so shranjeni na napravi. Pri napravah, ki jih je v svoje raziskovanje vključil Kaspersky Labov raziskovalec Roman Unuchek, so bili ti podatki omejeni na število dejanj lastnika naprave v pretekli uri. Ker bodo fitnes zapestnice naslednjih generacij sposobne zbiranja večjega obsega bolj raznolikih podatkov, se lahko tveganje za zlorabo občutljivih zdravstvenih podatkov uporabnikov naprav znatno poveča.
Zlorabe so možne zaradi načina, na katerega se zapestnica poveže s pametnim telefonom. Sodeč po raziskavi se lahko naprave z operacijskim sistemom Android z različico 4.3 ali novejšo z zapestnicami različnih proizvajalcev povežejo prek posebne neavtorizirane namestitve aplikacije. Za vzpostavitev povezave morajo uporabniki potrditi povezovanje s pritiskom na gumb na zapestnici. Napadalci lahko ta korak preprosto obidejo, saj večina modernih fitnes zapestnic nima ekrana. Ko zapestnica z vibriranjem poziva lastnika k potrditvi povezave, žrtev ne more vedeti, ali gre za potrditev povezave z lastno napravo ali napravo tretje osebe.
»Dokaz koncepta je odvisen od veliko pogojev za njegovo pravilno delovanje in na koncu napadalec ne bi mogel dostopati do resnično pomembnih podatkov, kot so gesla in številke kreditnih kartic. Toda hkrati kaže na obstoj možnosti, da napadalec izkoristi napake razvijalcev naprave. Fitnes sledilniki so trenutno večinoma omejeni na štetje korakov in sledenje ciklom spanja uporabnika. Kljub temu pa so naslednje generacije tovrstnih naprav, ki bodo zmožne zbrati veliko več informacij o svojih uporabnikih, že pred vrati. Zato je pomembno pomisliti na varnost teh naprav že sedaj in zagotoviti ustrezno zaščito za povezovanje s pametnim telefonom,« je povedal Roman Unuchek, starejši analitik zlonamerne programske opreme pri Kaspersky Labu.
Strokovnjaki Kaspersky Laba uporabnikom pametnih zapestnic, ki so v skrbeh zaradi varnosti podatkov na svojih sledilnikov, svetujejo, naj pri prodajalcih preverijo, ali bi lahko bili tovrstni vdori možni tudi pri uporabi njihove naprave.
Več informacij o raziskavi, ki jo je izvedel Roman Unuchek, lahko preberete v članku na spletni strani Securelist.com.
O Kaspersky Labu
Kaspersky Lab je največji zasebni prodajalec končnih varnostnih rešitev na svetu. Podjetje se uvršča med najboljše štiri svetovne prodajalce varnostnih rešitev za končne uporabnike*. Skozi svojo več kot 17-letno zgodovino je Kaspersky Lab inovator na področju IT-varnosti ter ustvarja učinkovite digitalne rešitve na področju varnosti za potrošnike, mala in srednja podjetja ter večje organizacije. Kaspersky Lab s holdingom, registriranim v Veliki Britaniji, trenutno deluje v skoraj 200 državah in ozemljih po celem svetu ter zagotavlja zaščito več kot 400 milijonom uporabnikom. Več o Kaspersky Labu si lahko preberete na www.kaspersky.com.
* Podjetje je bilo uvrščeno na četrto mesto lestvice IDC po prihodkih od prodaje končnih varnostnih rešitev (IDC rating Worldwide Endpoint Security Revenue by Vendor, 2013). Lestvica je bila objavljena v poročilih IDC o napovedih za varnostne sisteme za končne uporabnike v letih 2014-2018 in deležih prodajalcev v letu 2013 (Worldwide Endpoint Security 2014–2018 Forecast in 2013 Vendor Shares (IDC #250210, August 2014)). V poročilu so prodajalci programske opreme razporejeni glede na zaslužek od prodaje končnih varnostnih rešitev v letu 2013.