Cat de multe spune un smartwatch despre utilizatori
O cercetare recenta arata ca ceasurile inteligente pot deveni instrumente de spionaj, colectand silentios semnalele accelerometrului si ale giroscopului care – dupa o analiza atenta – ar putea fi transformate in seturi de date unice despre detinatorii ceasului. Aceste date, daca sunt folosite in mod rau intentionat, permit monitorizarea activitatilor utilizatorului, inclusiv introducerea de informatii sensibile. Concluziile au rezultat in urma unei analize Kaspersky Lab despre impactul pe care proliferarea domeniului IOT il poate avea asupra vietii de zi cu zi a utilizatorilor si asupra securitatii informatiilor lor.
In ultimii ani, industria de securitate cibernetica a aratat ca datele utilizatorilor individuali devin foarte valoroase, din cauza ca pot fi folosite in nenumarate moduri de catre infractorii cibernetici. Dar in timp ce paranoia utilizatorilor in legatura cu folosirea informatiilor personale creste, alte surse de amenintare – mai putin evidente – raman neobservate. De exemplu, pentru un stil de viata sanatos, multe persoane folosesc tracker-e de fitness care sa le monitorizeze miscarea si activitatile sportive. Dar exista si efecte negative.
Accesoriile smart, printre care ceasurile inteligente si tracker-ele de fitness, sunt foarte des folosite in activitati sportive, pentru a ne monitoriza activitatea si a primi notificari etc. Majoritatea acestor dispozitive sunt echipate cu senzori de acceleratie integrati (accelerometru), care vin deseori alaturi de senzori de rotatie (giroscop), pentru a numara pasii si a identifica pozitia actuala a utilizatorului. Expertii Kaspersky Lab au decis sa examineze ce informatii despre utilizator ar putea sa ofere acesti senzori unor terte parti neautorizate si au studiat cateva marci de smartwatch de la mai multi producatori.
In acest scop, expertii au dezvoltat o aplicatie destul simpla pentru smartwatch care inregistra semnalele accelerometrelor si ale giroscoapelor integrate. Datele inregistrate au fost apoi salvate fie in memoria dispozitivului, fie incarcate prin Bluetooth pe telefonul mobil la care este conectat ceasul.
Folosind algoritmi matematici disponibili in puterea de calcul a accesoriului smart, a fost posibila identificarea tiparelor de comportament, a perioadelor cand utilizatorii se miscau, catre ce si pentru cat timp. Cel mai important, a fost posibila identificarea activitatilor sensibile ale utilizatorului, printre care introducerea unei fraze folosite ca parola pe computer (cu o acuratete de pana la 96%), introducerea unui cod PIN la ATM (aproximativ 87%) si deblocarea telefonului mobil (aproximativ 64%).
Setul de date de semnal este in sine un tipar unic de comportament pe dispozitivul detinatorului. Folosindu-l, cineva ar putea merge mai departe si incerca sa identifice identitatea unui utilizator – fie printr-o adresa de e-mail care a fost ceruta in momentul inregistrarii in aplicatie, fie prin intermediului accesului la datele de autentificare ale contului Android. Dupa aceea, este doar o problema de timp pana cand sunt identificate informatii amanuntite, inclusiv obiceiurile zilnice si momentele cand introduc date importante.
Dar chiar daca acest exploit nu este valorificat, ci folosit de infractorii cibernetici in alte scopuri, pot exista o multime de consecinte neplacute. De exemplu, ar putea sa decripteze semnalele primite folosind retelele neuronale, sa spioneze victimele sau sa instaleze skimmere la ATM-urile la care victimele merg de obicei. Am vazut deja cum infractorii pot obtine o acuratete de 80% atunci cand incearca sa decripteze semnalele accelerometrului si sa identifice parola sau PIN-ul, folosind doar datele colectate de senzorii smartwatch-ului.
