Ali vaš fitnes sledilnik ogroža vašo varnost?

Oglas

Težka naloga je upoštevati, od kod izvirajo naši podatki. V vseh napravah sprejemamo potrebne varnostne ukrepe, nameščamo protivirusno programsko opremo, izvajamo skeniranje zlonamerne programske opreme in upamo, da dvakrat in trikrat preverimo e-poštna sporočila o morebitnih sumljivih. To je le nekaj potencialnih vektorjev napadov, ki nas čakajo.

Varnostni raziskovalci so razkrili, da je poleg „rednih“ naprav ena izmed najnovejših oblik tehnologija bi lahko napadalcem zagotovila nepričakovan, a lahko dostopen kot, da bi nas ukradli osebni podatki. Fitnes sledilci so pred kratkim prišli v središče varnosti, potem ko je tehnično poročilo poudarilo vrsto resne varnostne pomanjkljivosti v svojih modelih, ki teoretično omogočajo, da potencialni napadalci prestrežejo vaše osebne podatkov.

Usodne pomanjkljivosti v fitnesu

Fitnes sledilci so videli brez primere naraščanje priljubljenosti 17 najboljših pripomočkov za zdravje in fitnes za izboljšanje telesaV zadnjih nekaj letih so inovacije v zvezi s pripomočki za zdravje in fitnes eksplodirale. Tu je le nekaj neverjetnih kosov kompleta, ki jih boste lahko uporabili, da se boste počutili odlično.

Preberi več v zadnjih nekaj letih. Samo v četrtem četrtletju 2015 se je medletna prodaja povečala za 197%, s 7,1 milijona na 21 milijonov enot. Tržni analitiki Sodelavci po parkih ocenite globalni trg fitnes sledilcev bo še naprej rasla, zrasla z 2 milijarde dolarjev leta 2014 na 5,4 milijarde dolarjev v letu 2019. To so znatne koristi, kar kaže na število uporabnikov, ki bi se lahko izpostavili temu neznanemu vektorju napada.

Kanadska nepridobitna raziskovalna organizacija Odprti učinek, in interdisciplinarni raziskovalni laboratorij Citizen Lab, preučil osem najbolj priljubljenih športnih nošenj, ki so trenutno na voljo: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio varovalka, Withings Pulse O2 in Xiaomi Mi Band.

The kombinirano poročilo o raziskavi želel odkriti korake, ki jih tehnološka podjetja izvajajo za zaščito in vzdrževanje varnosti podatkov. Medtem ko poznamo in razumemo fitnes sledilce, bomo zbirali bitje srca, korake, kalorije in spali Podatki so raziskovalci raziskali, kaj se zgodi s temi podatki, ko je v rokah naprave razvijalci.

Kateri podatki se pošljejo na oddaljeni strežnik? Kako tehnološka podjetja zavarujejo podatke? S kom ga delijo? Kako podjetja dejansko uporabljajo informacije?

Ključne ugotovitve so vključevale:

• Sedem od osmih naprav za sledenje fitnesu oddaja trajne edinstvene identifikatorje (Bluetooth Media Access Access Address), ki lahko svoje uporabnike izpostavijo dolgoročnemu sledenju svoje lokacije, ko naprava ni seznanjena in povezana z mobilnim telefonom napravo.
• Aplikacije Jawbone in Withings je mogoče izkoristiti za ustvarjanje ponarejenih plošč fitnesa. Takšni ponarejeni zapisi postavljajo pod vprašaj zanesljivost podatkov o sledenju fitnesa v sodnih zadevah in zavarovalniških programih.
• Aplikacije Garmin Connect (iPhone in Android) in aplikacije Withings Health Mate (Android) imajo varnostne ranljivosti, ki nepooblaščenim tretjim osebam omogočajo branje, pisanje in brisanje uporabnika podatkov.
• Garmin Connect ne uporablja osnovnih varnostnih praks za prenos podatkov za svoje aplikacije iOS ali Android in posledično podatke o fitnesu izpostavlja nadzoru ali poseganju.

Obstojni enolični identifikatorji

Uporabna tehnologija oddaja vztrajen signal Bluetooth. Ne glede na to, ali je pametna ura ali fitnes sledilnik, se ta signal uporablja za stalno komunikacijo s pametnim telefonom. Njihova komunikacija z zunanjo napravo je se vzdržuje z uporabo naslova MAC (nadzor dostopa do medijev) IP in MAC naslov: Za kaj so dobri?Internet se ne razlikuje tako od običajnih poštnih storitev. Namesto domačega naslova imamo IP naslove. Namesto imen imamo MAC naslove. Skupaj dobijo podatke na vaša vrata. Tukaj je ... Preberi več , ki enotno identificira fitnes sledilnik.

V kontekstu fitnes sledilcev zahteva vzdrževanje varnosti osebnih podatkov, da se ti naslovi naključno izberejo, da uporabnik ne more slediti in jih prepoznati po naslovu MAC. Svetilniki Bluetooth, ki se v nakupovalnih središčih vse pogosteje uporabljajo za ustvarjanje ciljanega oglaševanja v mobilnih napravah, lahko te naprave spremljajo in profilirajo z enim MAC naslovom (lahko tudi zgradil kdorkoli s primernim, kompaktnim računalnikom Sestavite DIY iBeacon z Raspberry PiOglasi, usmerjeni na določenega uporabnika, ki se sprehodi po mestnem središču, so stvari distopijskih prihodnosti. Toda to sploh ni distopična prihodnost: tehnologija je že tu. Preberi več ). Dejansko je med testiranimi napravami samo Apple Watch randomiziral svoj MAC naslov "v približno 10-minutnem intervalu", da bi zaščitil identiteto svojega uporabnika.

Ko je obstojen MAC naslov zabeležen, je mogoče uporabnikovo lokacijo slediti od svetilnika do svetilnika. Če se nakupovalni center med celotnim obiskom nakupa odloči za zbiranje informacij o lokaciji uporabnika, bi lahko podatke prodal tržni agenciji ali drugemu posredniku podatkov, ne da bi o tem predhodno obvestil uporabnika. Če lahko en posrednik za podatke kupi več profilov, je mogoče podatke razvrstiti, da ustvarijo prefinjene ciljno usmerjenih oglaševalskih profilov, ki se aktivirajo vsakič, ko uporabnik (in njegov edinstven identifikator naprave) vstopi v stavba.

Aplikacije so prav tako slabe

Vsak fitnes sledilnik ima svojo aplikacijo za spremljanje, ki zajame množico podatkov, povezanih s fitnesom, in jih prevede v lepo vizualno prikaz dejanj uporabnikov. Vendar je bilo ugotovljeno, da so aplikacije na več lokacijah prenosa puščale osebne podatke.

Na primer, pričakovali bi, da bo kakršen koli prenos osebnih podatkov šifrirano z uporabo HTTPS vsaj Kaj je HTTPS in kako omogočiti varne povezave na privzetoVprašanja glede varnosti se širijo daleč naokoli in so prišla v ospredje večine vseh. Izrazi, kot sta protivirusni ali požarni zid, niso več nenavaden besednjak in jih ne razumejo, ampak jih uporablja tudi ... Preberi več ; Garmin Connect tega ni uspel in je uporabniške podatke pustil pasivno izpostavljene potencialnemu prisluškovalcu.

Podobno, čeprav Bellabeat Leaf in Withings Health Mate komunicirata z oddaljenimi strežniki s pomočjo HTTPS, oboje podjetja so uporabnikom poslala e-poštna sporočila s preprostim besedilom, da potrdijo svoje poverilnice za prijavo, tako da so uporabniki odprti za človeka v sredini napadi. Vsak napadalec, ki ima dobro znanje API-ja Bellabeat ali Withings, lahko v nekaj minutah dostopa do številnih osebnih podatkov o fitnesu. Ta oblika napada bi se lahko uporabila tudi za pošiljanje zlonamernih ali lažnih podatkov na nosljiv ali uporabnikov telefon.

Podpiranje podatkov

Tri opažene aplikacije za sledenje fitnesu "so bile podvržene motiviranemu uporabniku, ki je ustvaril lažne podatke o fitnesu za svoj račun", ki goljufijo podjetjem, da sprejemajo ponarejene podatke. Odprti učinek in Citizen Lab ustvarili več aplikacij, s katerimi so preizkusili strežnike fitnes sledilcev pri sprejemanju lažnih informacij, saj so se pojavili Bellabeat LEAF, Jawbone UP in Withings Health Mate.

"Na Jawbone smo poslali zahtevo, v kateri je navedlo, da je naš preskusni uporabnik v enem dnevu naredil deset milijard korakov."

Njihova uporaba enakomerno porazdeli časovne korake v fiksne intervale v želenem časovnem okviru, kar ustvari umetno porazdelitev korakov. Raziskovalci so sklenili, da bo bolj izpopolnjen pristop "naključno razdelil korake za vzpostavitev bolj realistične distribucije" za nadaljnje odkrivanje pobega.

Zakaj je to težava?

Fitnes sledilci lahko vzdrževati stalen tok zbiranja osebnih podatkov Koliko lahko vaši osebni podatki sledijo pametnim napravam?Skrbi glede zasebnosti in varnosti pametnega doma so še vedno tako resnični kot doslej. In čeprav imamo radi idejo o pametni tehnologiji, je to le ena izmed mnogih stvari, ki se jih moramo zavedati pred potapljanjem ... Preberi več . Skupni vektorji zbiranja podatkov vključujejo stopinje, srčni utrip, vzorce spanja, nadmorsko višino, geolokacije, kakovost dejavnosti in vrste dejavnosti.

Nekateri fitnes sledilci spodbujajo svoje uporabnike k dodatnim fitnesom ali družabnim aktivnostim, kot je na primer določanje hrane za štetje in analize kalorij, osebno razpoloženje ob določenem času dneva (tudi v zvezi z aktivnostmi in hrano poraba), za prijavo svojih ciljev v fitnesu 10 Excelovih predlog za sledenje zdravju in telesni pripravljenosti Preberi več in slediti napredku skozi čas V 1 minuti spremljajte ključna področja svojega življenja z Googlovimi obrazciNeverjetno je, kaj se lahko naučite o sebi, ko si vzamete čas in posvetite svoje vsakodnevne navade in vedenja. Uporabite vsestranski Google Forms, da spremljate svoj napredek pri pomembnih ciljih. Preberi več ali tekmovati proti drugim fitnes navdušencem v gamificirana okolja na nadzorni plošči, ki jih urejajo družbeni mediji Najboljše aplikacije za družbeno fitnes za druženje s prijatelji in družinoAplikacije za fitnes v družabnih medijih so morda eden najboljših načinov, kako lahko odgovarjate svojim prijateljem, vendar morate poiskati aplikacijo, ki za vas najbolje deluje! Preberi več .

Vprašanja, ki jih je zastavil Odprti učinek in Citizen Lab ponazoriti nevarnosti zanašanja na fitnes sledilce za zagotavljanje zanesljivih osebnih podatkov v različnih situacijah. Podatki fitnes sledilnika so bili uporabljeni za zavarovanje zavarovalnih polic ali predstavljajo napredek pri zdravstvenih težavah, vendar vidimo, da bi bili podatki lahko lažni.

Ali poleg tega vprašanja teh podatkov postavljajo naravo teh tehnoloških podjetij za sledenje fitnesu? Kako se ti slabi poskusi varstva podatkov prenašajo na njihove druge izdelke? Težava ni vezana samo na fitnes sledilce, več državljanov in regulatorjev pa bi morali storiti več, da bi zagotovili uporabniške podatke je ves čas zaščiten, da ne bi našli celotnih panog, ki jih spodkopava navidezno pomanjkanje nege in preudarnosti z zasebnimi podatkov.

Kaj je naslednje?

Ugotovitve poročila so jasne: večja varnost temelji na priporočilih v Odprti učinek in Citizen Lab. Osebna in zasebna varnost je resna, zato bi morali obravnavati vprašanja, ko prispeta. Vendar pa to ni le izboljšana varnost. Uporabniki fitnes sledilcev morajo razumeti, kam se pošiljajo njihovi podatki, kam se hranijo in do katerih drugih strank imajo dostop do njih.

Težava je na tehnoloških podjetjih, da s svojimi uporabniki komunicirajo s popolno tehnično globino nadzora, ki so ga tudi pridobili, ne glede na to, ali ga zavedajo ali ne, skupaj z njegovim potencialom tveganja.

Je čas, da vržete svoj fitnes sledilnik? Verjetno ne, še posebej, če imate Apple Watch Ni Apple Watch: 9 drugih iPhone-prijaznih nošenjNapoved Apple Watch je bila velika novica, vendar še zdaleč ni edina nosljiva naprava, zasnovana za uporabo z iPhone. Preberi več . Kljub mešanim reakcijam na ugotovitve tehničnega poročila proizvajalcev fitnes sledilcev je malo verjetno, da bodo te ranljivosti še dolgo obstajale.

Lahko pa vsaj upamo, da ne bodo dolgo obstajali.

Vas skrbi vaš fitnes sledilnik? Ste izgubili podatke z nosljivo tehnologijo? Kaj se je zgodilo? Sporočite nam spodaj!