Jak wiele o użytkowniku może powiedzieć jego smartwatch?

Podobne tematy

Cyberbezpieczeństwo – IBM Spectrum Protect na pierwszej linii frontu

Praktycznie od zawsze bezpieczeństwo było jednym z ważniejszych priorytetów w IT. Jednak ostatnie lata i spektakularne wydarzenia, które odbiły...

Kogo najłatwiej złowić, czyli branże i działy najbardziej podatne na phishing

Użytkownicy, którzy na codzień mają do czynienia z częstą wymianą e-maili są bardziej podatni na cyberzagrożenia i trudno się...

Wzbudzanie emocji w świecie napędzanym danymi – pierwsze wirtualne Canon Future Promotion Forum

Jak dotrzeć do odbiorców, udoskonalić firmowy marketing i efektywnie wykorzystywać nowoczesne technologie? Jak budować w konsumentach poczucie indywidualnej interakcji...

Nowe badanie Kaspersky Lab pokazuje, że smartwatche mogą stać się narzędziami do szpiegowania swoich właścicieli, ukradkowo gromadząc sygnały akcelerometru i żyroskopu, które – po odpowiedniej analizie – można przekształcić w zestawy danych unikatowych dla właściciela danego zegarka.

Informacje te, w przypadku nadużycia, umożliwiają monitorowanie aktywności użytkownika, łącznie z wprowadzanymi wrażliwymi informacjami. Badacze przyjrzeli się wpływowi, jaki na codzienne życie użytkowników oraz bezpieczeństwo ich informacji może mieć rozpowszechnienie Internetu Rzeczy.

W ostatnich latach branża cyberbezpieczeństwa wykazała, że prywatne dane użytkowników stają się bardzo cennym towarem ze względu na niemal nieograniczone możliwości wykorzystania ich do celów przestępczych – od wyrafinowanego cyfrowego profilowania ofiar cyberprzestępców po prognozy rynkowe dotyczące zachowania użytkowników. Jednak podczas gdy obawy konsumentów związane z nadużyciem informacji osobowych rosną i wielu z nich kieruje swoją uwagę na platformy online oraz metody gromadzenia danych, bez ochrony pozostają inne – mniej oczywiste – źródła zagrożeń. Na przykład, aby utrzymać zdrowy styl życia, wiele osób korzysta z pomocy urządzeń lub aplikacji służących do pomiaru aktywności fizycznej.

Inteligentne urządzenia noszone na sobie, w tym smartwatche oraz opaski fitnessowe, lub aplikacje do pomiaru aktywności fizycznej, są powszechnie wykorzystywane podczas aktywności sportowej w celu monitorowania zdrowia, otrzymywania powiadomień itd. W celu wykonywania swoich głównych funkcji większość tych urządzeń jest wyposażona we wbudowane czujniki przyspieszenia (akcelerometry), które często są połączone z czujnikami obrotu (żyroskopy) umożliwiającymi pomiar liczby kroków oraz określenie aktualnej pozycji użytkownika. Eksperci postanowili zbadać, jakie informacje dotyczące użytkownika mogą zostać przekazane przez takie czujniki nieupoważnionym osobom trzecim. W tym celu przyjrzeli się bliżej kilku smartwatchom różnych producentów.

Aby zbadać tę kwestię, eksperci opracowali dość prostą aplikację na smartwatcha, która rejestrowała sygnały z wbudowanych akcelerometrów oraz żyroskopów. Rejestrowane dane były następnie zapisywane do pamięci urządzenia lub przesyłane do sparowanego przy pomocy technologii Bluetooth smartfona.

Przy użyciu algorytmów matematycznych możliwe było zidentyfikowanie schematów zachowania, jak również kiedy, gdzie i jak długo użytkownicy byli w ruchu. Co najistotniejsze, można było zidentyfikować „wrażliwe” aktywności użytkownika, takie jak wprowadzanie hasła na komputerze (z dokładnością do 96 proc.), wpisywanie PIN-u w bankomacie (dokładność około 87 proc.) oraz odblokowywanie telefonu komórkowego (dokładność około 64 proc.).

Wspomniany zestaw danych pozwala zatem na zdefiniowanie schematu zachowania unikatowego dla właściciela urządzenia. Jednak przy użyciu tych informacji potencjalny atakujący może pójść o krok dalej i spróbować zidentyfikować tożsamość użytkownika – za pośrednictwem adresu e-mail żądanego na etapie rejestracji aplikacji lub za pośrednictwem aktywowanego dostępu do danych uwierzytelniających do konta w systemie Android. Następnie zidentyfikowanie szczegółowych informacji dot. ofiary, w tym jej rutynowych czynności i momentów wprowadzania istotnych danych, to już tylko kwestia czasu. A biorąc pod uwagę rosnącą wartość prywatnych danych użytkowników, perspektywa wykorzystywania takich informacji przez osoby trzecie do osiągnięcia zysków nie wydaje się odległa.

Nawet jeśli cyberprzestępcy nie wykorzystają tych możliwości do zarabiania pieniędzy, ale do własnych szkodliwych celów, możliwe konsekwencje będą ograniczone jedynie ich wyobraźnią i poziomem wiedzy technicznej. Możliwe jest np. odszyfrowanie otrzymanych sygnałów przy użyciu sieci neuronowych, zastawienie pułapki na ofiary lub zmodyfikowanie bankomatu, z którego regularnie korzysta dana ofiara. Jak mogliśmy się już przekonać, przestępcy są w stanie uzyskać 80 proc. dokładność podczas prób odszyfrowania sygnałów akcelerometru czy identyfikowania hasła lub kodu PIN wyłącznie przy użyciu danych zebranych z czujników smartwatcha.

Badacze zalecają użytkownikom zwracanie uwagi na następujące podejrzane sygnały podczas noszenia inteligentnych urządzeń.

  • Aplikacja wysyła żądanie pobrania informacji dotyczących konta użytkownika – takie zdarzenie powinno wzbudzić niepokój, ponieważ przestępcy mogą łatwo stworzyć „cyfrowy odcisk palca” właściciela urządzenia.
  • Niepokojącym sygnałem jest również żądanie przez aplikację zgody na wysyłanie danych geolokalizacyjnych. Nie należy udzielać dodatkowych zezwoleń aplikacjom do pomiaru aktywności fizycznej pobieranym na smartwatcha ani ustawiać swojego firmowego adresu e-mail jako loginu.
  • Należy również zwracać uwagę na przyspieszone zużycie baterii urządzenia. Jeśli gadżet wyczerpuje się w ciągu zaledwie kilku godzin zamiast jednego dnia, należy sprawdzić, co tak naprawdę robi. Może rejestrować sygnały lub, co gorsza, wysyłać je na zewnątrz.
Źródło: Kaspersky Lab
- Reklama -

Gorące tematy

- Reklama -
Używamy plików cookie, aby zapewnić lepszą jakość przeglądania. Kontynuując korzystanie z tej witryny, wyrażasz zgodę na korzystanie z plików cookie.
Używamy plików cookie, aby zapewnić lepszą jakość przeglądania. Kontynuując korzystanie z tej witryny, wyrażasz zgodę na korzystanie z plików cookie.