Vaarantaako kuntotunnistasi turvallisuutesi?

Mainos

On vaikeaa pohtia, mistä tietomme vuotavat. Otamme tarvittavat varotoimet laitteidemme läpi, asentamme virustorjuntaohjelmistot, suoritamme haittaohjelmatarkistuksia ja toivottavasti kaksinkertaisen ja kolminkertaisesti tarkistamme sähköpostit kaikista epäilyttävistä. Nämä ovat vain muutama mahdollisista hyökkäysvektoreista, jotka odottavat meitä.

Turvallisuustutkijat ovat paljastaneet, että "tavallisten" laitteidemme lisäksi, yksi uusimmista tekniikka voisi tarjota hyökkääjille odottamattoman, mutta helposti saavutettavan kulman varastamaan meidän henkilökohtaiset tiedot. Kuntoilmaisimet ovat viime aikoina olleet turvallisuuden valossa, kun tekninen raportti korosti sarjan vakavia turvallisuusvirheitä suunnittelussaan, mahdollistaen teoriassa mahdollisten hyökkääjien siepata henkilökohtaiset tiedot.

Tappavat kuntovirheet

Kunto seurantajat ovat nähneet ennennäkemättömän suosion nousu 17 parasta terveys- ja kunto-vempainta kehon parantamiseksiViime vuosina terveys- ja kuntolaitteiden ympärillä oleva innovaatio on räjähtää. Tässä on vain muutama hämmästyttävä sarjapakkaus, jota voit käyttää pitämään olosi hyvältä.

Lue lisää viime vuosina. Pelkästään vuoden 2015 neljännellä vuosineljänneksellä myynti kasvoi huomattavasti 197% edellisvuodesta 7,1 miljoonasta 21 miljoonaan yksikköön. Markkina-analyytikot Parks Associates arvioi kuntolaitteiden globaalit markkinat kasvaa edelleen, nouseen 2 miljardista dollarista vuonna 2014 5,4 miljardiin dollariin vuonna 2019. Nämä ovat merkittäviä voittoja, jotka osoittavat niiden käyttäjien lukumäärän, jotka mahdollisesti altistuvat itselleen tähän aiemmin tuntemattomaan hyökkäysvektoriin.

Kanadan voittoa tavoittelematon tutkimusorganisaatio Open Effect, ja monitieteinen tutkimuslaboratorio Citizen Lab, tarkasteli kahdeksaa tällä hetkellä saatavilla olevaa suosituinta kuntoviiraa: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio-sulake, Withings Pulse O2 ja Xiaomi Mi Bändi.

yhdistetty tutkimusraportti yritti löytää vaiheita, joita teknologiayritykset toteuttavat tietoturvasi suojelemiseksi ja ylläpitämiseksi. Kun tiedämme ja ymmärrämme kuntoseurannan, keräämme sykettä, jalanjälkiä, kaloreita ja unta tietoja, tutkijat tutkivat mitä tapahtuu tälle tiedolle, kun se on laitteen käsissä kehittäjille.

Mitä tietoja lähetetään etäpalvelimelle? Kuinka teknologiayritykset suojaavat tietoja? Kenelle se on jaettu? Kuinka yritykset todella käyttävät tietoja?

Tärkeimmät havainnot olivat:

• Seitsemän kahdeksasta kuntoasemalaitteesta lähettää pysyviä yksilöiviä tunnisteita (Bluetooth Media Access Control -osoite) voivat altistaa käyttäjänsa sijainnin pitkäaikaiselle seurannalle, kun laitetta ei ole muodostettu pariksi, ja että hän on yhteydessä matkapuhelimeen laite.
• Jawbone- ja Withings-sovelluksia voidaan hyödyntää väärennettyjen kuntobänditietojen luomiseen. Tällaiset vääriä tietueita kyseenalaistavat kuntoasemarekisterin tietojen luotettavuuden oikeudenkäynneissä ja vakuutusohjelmissa.
• Garmin Connect -sovellukset (iPhone ja Android) ja Withings Health Mate (Android) -sovellus on suojausheikkouksia, joiden avulla luvattomat kolmannet osapuolet voivat lukea, kirjoittaa ja poistaa käyttäjiä tiedot.
• Garmin Connect ei käytä perustiedot tiedonsiirron tietoturvakäytäntöjä iOS- tai Android-sovelluksissaan, ja altistaa sen vuoksi kuntotiedot valvonnalle tai peukaloille.

Pysyvät yksilölliset tunnisteet

Käytettävä tekniikka lähettää jatkuvaa Bluetooth-signaalia. Tätä signaalia käytetään jatkuvasti kommunikointiin älypuhelimen kanssa, on se sitten älykello tai kunto-seuranta. Heidän viestinnänsä ulkoisen laitteen kanssa on ylläpidetään MAC-osoitteella (Media Access Control) IP- ja MAC-osoitteet: mistä ne ovat hyviä?Internet ei ole niin erilainen kuin tavallinen posti. Kotiosoitteen sijasta meillä on IP-osoitteet. Nimien sijasta meillä on MAC-osoitteet. Yhdessä he saavat tiedot kotiovellesi. Tässä ... Lue lisää , joka tunnistaa kunto seurannan yksilöllisesti.

Kuntoilmaisimien yhteydessä henkilötietojen turvallisuuden ylläpito vaatii, että nämä osoitteet on satunnaistettu, jotta varmistetaan, että käyttäjää ei voida jäljittää ja että MAC-osoite tunnistaa sen. Bluetooth-majakat, joita käytetään yhä useammin ostoskeskuksissa kohdistetun mobiilimainonnan luomiseen, voivat seurata ja profiloida näitä laitteita yhdellä MAC-osoitteella (ne voivat olla myös rakennettu kenen tahansa sopivalla, pienikokoisella tietokoneella Rakenna DIY iBeacon Raspberry Pi -sovelluksellaTietyn suurkaupunkikeskuksen läpi kulkevalle käyttäjälle suunnatut mainokset ovat dystopisia tulevaisuuksia. Mutta se ei ole ollenkaan dystopinen tulevaisuus: tekniikka on jo täällä. Lue lisää ). Itse asiassa vain testatuista laitteista Apple Watch satunnaisti MAC-osoitteensa ”noin 10 minuutin välein” käyttäjän identiteetin suojaamiseksi.

Kun pysyvä MAC-osoite on kirjautunut, käyttäjän sijaintia voidaan helposti jäljittää majakasta majakkaan. Jos ostoskeskus päättää kerätä käyttäjän sijaintitietoja koko ostoskäynnin ajan, tiedot voidaan myydä markkinointivirastolle tai muulle tiedonvälittäjälle ilmoittamatta siitä ensin käyttäjälle. Jos yksi tiedonvälittäjä voi ostaa useita profiileja, tiedot voidaan koota kehittyneiden rakentamiseksi kohdistetut mainosprofiilit, jotka aktivoidaan joka kerta, kun käyttäjä (ja heidän yksilöllinen laitetunnuksensa) saapuvat rakennus.

Sovellukset ovat yhtä huonoja

Jokaisella kunto-ohjaimella on oma seurantasovellus, joka kaappaa lukuisat kuntoihin liittyvät tiedot ja muuntaa ne mukavaksi visuaaliseksi kuvaukseksi käyttäjien toiminnoista. Itse sovellusten on kuitenkin havaittu vuotavan henkilökohtaisia ​​tietoja useissa lähetyspaikoissa.

Voidaan esimerkiksi odottaa, että henkilötietojen siirto tapahtuu salattu vähintään HTTPS: llä Mikä on HTTPS ja kuinka suojatut yhteydet otetaan käyttöön oletusarvoisestiTurvallisuusongelmat leviävät kauas ja laajalle ja ovat saavuttaneet kaikkien mielenkiinnon kärjessä. Termit, kuten virustentorjunta tai palomuuri, eivät ole enää omituisia sanastoja, eivätkä ne ymmärrä vaan myös käytä ... Lue lisää ; Garmin Connect ei onnistunut edes tekemään niin, että käyttäjätiedot jäivät passiivisesti alttiiksi salakuuntelijalle.

Samoin, vaikka Bellabeat Leaf ja Withings Health Mate kommunikoivat etäpalvelimien kanssa HTTPS: llä, molemmat yritykset lähettivät käyttäjille tavallisia sähköpostiviestejä vahvistaakseen kirjautumistietonsa, jolloin käyttäjät olivat avoinna keskitie-ihmisille hyökkäyksiä. Jokainen hyökkääjä, jolla on käytännössä tietoa Bellabeat- tai Withings API -sovelluksista, saattoi käyttää monenlaisia ​​henkilökohtaisia ​​kuntotietoja muutamassa minuutissa. Tätä hyökkäysmuotoa voitaisiin käyttää myös haitallisten tai väärien tietojen siirtämiseen käyttäjän kannettavaan puhelimeen tai käyttäjän puhelimeen.

Tietojen peukalointi

Kolme havaittua kunto-ohjainsovellusta oli "alttiita motivoituneelle käyttäjälle, joka luo vääriä tietoja kuntotiedoista omaan tiliinsä", houkuttelemalla yrityksen palvelimia hyväksymään vääriä tietoja. Open Effect ja Citizen Lab loi useita sovelluksia, joiden tarkoituksena on huijata kunto-seurantapalvelimia väärien tietojen hyväksymiseen. Bellabeat LEAF, Jawbone UP ja Withings Health Mate ilmestyvät pian.

"Lähetimme Jawbonelle pyynnön, jonka mukaan testikäyttäjämme teki kymmenen miljardia askelta yhdessä päivässä"

Niiden soveltaminen jakoi vaiheiden ajoitukset tasaisesti kiinteisiin väliajoihin halutun ajanjakson aikana, luomalla vaiheiden keinotekoisen jakautumisen. Tutkijat päättelivät, että hienostuneempi lähestymistapa ”jakaisi satunnaisesti vaiheet realistisemman näköisen jaon luomiseksi” pakoon havaitsemiseksi edelleen.

Miksi tämä on ongelma?

Kuntoseurantajat voivat ylläpitää jatkuvaa henkilötietojen keruuta Kuinka suuri osa henkilökohtaisista tiedoistasi voisi seurata älylaitteita?Älykkään kodin yksityisyyttä ja turvallisuutta koskevat huolenaiheet ovat edelleen yhtä todellisia kuin koskaan. Ja vaikka me rakastammekin älykkään tekniikan ideaa, tämä on vain yksi monista asioista, jotka on tiedostettava ennen sukellusta ... Lue lisää . Tavallisiin tiedonkeruuvektoreihin kuuluvat askeleet, syke, nukkumistavat, korkeus, paikannus, toiminnan laatu ja aktiviteetityypit.

Jotkut kuntoseurantalaitteet rohkaisevat käyttäjiään osallistumaan ylimääräiseen kunto- tai sosiaaliseen toimintaan, kuten ruoan määrittämiseen lämpöarvojen laskemiseen ja analysointiin, henkilökohtaiseen mielialaan tiettyinä vuorokauden aikoina (myös suhteessa aktiviteetteihin ja ruokaan) kulutus), kirjata kunto tavoitteensa 10 Excel-mallia terveyden ja kuntosi seuraamiseksi Lue lisää ja seurata edistymistä ajan myötä Seuraa elämäsi tärkeimpiä alueita minuutin sisällä Google-lomakkeiden avullaOn hämmästyttävää, mitä voit oppia itsestäsi, kun otat aikaa kiinnittää huomiota päivittäisiin tapoihisi ja käyttäytymisisi. Käytä monipuolista Google-lomaketta seurataksesi edistymistäsi tärkeiden tavoitteiden saavuttamisessa. Lue lisää , tai kilpailla muiden kuntoharrastajien kanssa gamified social media -tyyliset kojelautaympäristöt Parhaat sosiaalisen kunto-sovellukset treenaamiseen ystävien ja perheen kanssaSosiaalisen median kuntosovellukset voivat olla yksi parhaista tavoista pysyä vastuussa ystävillesi, mutta sinun on löydettävä sinulle parhaiten sopiva sovellus! Lue lisää .

Kysymykset, jotka Open Effect ja Citizen Lab havainnollistaa vaaroja, jotka johtuvat kunto seurannan käyttäjien luotettavien henkilötietojen tarjoamisesta monissa tilanteissa. Kuntoilmaisimen tietoja on käytetty vakuutuksen vakuuttamiseen tai lääketieteellisten ongelmien kanssa tapahtuneen edistyksen kuvaamiseen, mutta tiedot näyttävät kuitenkin olevan helppo väärentää.

Lisäksi tekevätkö nämä tietoongelmat näiden kuntoasemateknologiayritysten luonteen kyseenalaisiksi? Kuinka nämä huonot tietosuojayritykset kääntyvät muihin tuotteisiinsa? Ongelma ei ole sidottu pelkästään kuntaseurantaan, ja sekä kansalaisten että sääntelijöiden olisi tehtävä enemmän käyttäjien tietojen varmistamiseksi on aina suojattu, jotta emme löydä kokonaisia ​​toimialoja heidän näennäisellä puutteellisella hoidolla ja harkinnan puutteella yksityisten kanssa tiedot.

Mitä seuraavaksi?

Raportin havainnot ovat selvät: lisääntynyt turvallisuus komitean suositusten perusteella Open Effect ja Citizen Lab. Henkilökohtainen ja yksityinen turvallisuus on vakava, ja meidän on käsiteltävä kysymyksiä heti saapuessaan. Mutta tarvitaan ei vain parannettu tietoturva. Kuntolaitteiden käyttäjien on ymmärrettävä, mihin heidän tiedot lähetetään, mihin ne tallennetaan ja kenellä muilla osapuolilla on pääsy tietoihin.

Teknologiayritysten tehtävänä on kommunikoida käyttäjiensä kanssa täydellinen tekninen syvyys valvonta, jonka he ovat myös suostuneet, toteutuvatko he sen tai eivät, sen potentiaalin mukana riskejä.

Onko aika heittää kuntotunnistimesi pois? Luultavasti ei, varsinkin jos sinulla on Apple Watch Ei Apple Watch: 9 muuta iPhone-ystävällistä pukeutumistaApple Watchin ilmoitus oli iso uutinen, mutta se ei ole kaukana ainoasta käytettävästä laitteesta, joka on suunniteltu käytettäväksi iPhonen kanssa. Lue lisää . Huolimatta sekalaisista reaktioista kuntoilmaisimien valmistajien teknisen raportin havaintoihin, on epätodennäköistä, että nämä haavoittuvuudet säilyvät pitkään.

Tai voimme ainakin toivoa, että niitä ei ole olemassa kauan.

Oletko huolissasi kuntolaitteistasi? Oletko menettänyt tietoja puettavan tekniikan avulla? Mitä tapahtui? Kerro meille alla!