Annonse
Det er en vanskelig oppgave å vurdere hvor dataene våre skal lekke fra. Vi tar de nødvendige forholdsreglene på tvers av enhetene våre, installerer antivirusprogramvare, kjører skadelig programvare og forhåpentligvis dobbelt- og trippelkontroller e-post for noe mistenkelig. Dette er bare noen få av de potensielle angrepsvektorene som venter oss.
Sikkerhetsforskere har avslørt at bortsett fra våre "vanlige" enheter, er en av de nyeste formene for teknologi kan gi angripere en uventet, men lett tilgjengelig vinkel å stjele vår personlig informasjon. Fitness trackere har nylig kommet under sikkerhets søkelyset etter at en teknisk rapport fremhevet en serie med alvorlige sikkerhetsfeil i designene sine, noe som teoretisk lar potensielle angripere avskjære din personlige data.
Fatal fitness feil
Treningssporere har sett en enestående økning i popularitet 17 beste helse- og treningsapparater for å forbedre kroppen dinI løpet av de siste årene har innovasjon rundt helse- og treningsapparater eksplodert. Her er bare noen av de fantastiske biter av settet du kan bruke for å føle deg bra. Les mer gjennom de siste årene. I fjerde kvartal i 2015 var det en enorm økning i salget på 197% fra året før, fra 7,1 millioner til 21 millioner enheter. Markedsanalytikere Parks Associates estimere det globale fitness tracker markedet vil fortsette å vokse, steg fra 2 milliarder dollar i 2014 til 5,4 milliarder dollar i 2019. Dette er betydelige gevinster, noe som indikerer antall brukere som potensielt kan eksponere seg for denne tidligere ukjente angrepsvektoren.
Kanadisk ideell forskningsorganisasjon Åpen effekt, og tverrfaglig forskningslaboratorium Citizen Lab, undersøkt åtte av de mest populære treningsdraktene som for tiden er tilgjengelige: Apple Watch, Basis Peak, the Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 og Xiaomi Mi Bånd.
De kombinert forskningsrapport prøvde å oppdage trinnene teknologiselskapene tar for å beskytte og opprettholde din datasikkerhet. Mens vi kjenner og forstår at treningssporere vil samle hjerteslag, fotspor, kalorier og søvn data, undersøkte forskerne hva som skjer med dataene når de er i hendene på enheten utviklere.
Hvilke data blir sendt til en ekstern server? Hvordan sikrer teknologiselskapene dataene? Hvem er det delt med? Hvordan bruker bedriftene faktisk informasjonen?
Viktige funn inkludert:
- Syv av åtte sporingsenheter sender ut vedvarende unike identifikatorer (Bluetooth Media Access Control-adresse) som kan utsette brukerne for langsiktig sporing av deres beliggenhet når enheten ikke er paret og koblet til en mobil enhet.
- Jawbone og Withings-applikasjoner kan utnyttes til å lage falske fitnessband-plater. Slike falske poster setter spørsmålstegn ved påliteligheten til den bruken av fitness tracker-data i rettssaker og forsikringsprogrammer.
- Garmin Connect-applikasjonene (iPhone og Android) og Withings Health Mate (Android) -applikasjonen har sikkerhetsproblemer som gjør at en uautorisert tredjepart kan lese, skrive og slette bruker data.
- Garmin Connect benytter ikke grunnleggende sikkerhetspraksis for dataoverføring for sine iOS- eller Android-applikasjoner og utsetter følgelig fitnessinformasjon for overvåking eller tukling.
Vedvarende unike identifikatorer
Bærbar teknologi avgir et vedvarende Bluetooth-signal. Enten smartwatch eller fitness tracker, dette signalet brukes til å kommunisere kontinuerlig med smarttelefonen. Deres kommunikasjon med den eksterne enheten er vedlikeholdes ved hjelp av en MAC-adresse (Media Access Control) IP og MAC-adresse: Hva er de bra for?Internett er ikke så forskjellig fra den vanlige posttjenesten. I stedet for en hjemmeadresse, har vi IP-adresser. I stedet for navn, har vi MAC-adresser. Sammen får de dataene på døren. Her er ... Les mer , på en unik måte å identifisere kondisjonstreneren.
I forbindelse med treningssporere krever vedlikehold av personlige data sikkerhet at disse adressene blir randomisert for å sikre at brukeren ikke kan spores og identifiseres av MAC-adressen. Bluetooth-beacons, brukt med økende frekvens i kjøpesentre for å lage målrettet mobilreklame, kan spore og profilere enhetene ved å bruke en enkelt MAC-adresse (de kan også være bygget av alle med en passende, kompakt datamaskin Bygg en DIY iBeacon med en Raspberry PiAnnonser som er målrettet mot en bestemt bruker som går gjennom et storbysenter, er ting av dystopisk fremtid. Men det er ikke en dystopisk fremtid i det hele tatt: teknologien er allerede her. Les mer ). Av de testede enhetene randomiserte bare Apple Watch sin MAC-adresse "med omtrent 10 minutters intervall" for å beskytte brukerens identitet.
Med den vedvarende MAC-adressen logget, kan brukerens plassering spores fra beacon til beacon. Hvis et kjøpesenter bestemmer seg for å samle informasjon om brukerens plassering gjennom hele sitt shoppingbesøk, kan dataene selges til et markedsføringsbyrå, eller annen datamegler, uten å varsle brukeren først. Hvis en enkelt datamegler kan kjøpe flere profiler, kan informasjon samles for å bygge sofistikert målrettede annonseprofiler, aktivert hver gang brukeren (og deres unike enhetsidentifikator) går inn i bygning.
Appene er like dårlige
Hver fitness-tracker kommer med sin egen overvåkningsapp, og fanger mengden av treningsrelaterte data og oversetter den til en fin visuell skildring av brukernes handlinger. Imidlertid har appene selv funnet å lekke personlig informasjon, på flere overføringssteder.
For eksempel kan man forvente at all overføring av personopplysninger skulle være i det minste kryptert med HTTPS Hva er HTTPS og hvordan aktivere sikre tilkoblinger per standardSikkerhetsproblemer sprer seg bredt og har nådd forkant i de fleste alles sinn. Begrep som antivirus eller brannmur er ikke lenger merkelig ordforråd og blir ikke bare forstått, men også brukt av ... Les mer ; Garmin Connect klarte ikke engang å gjøre det, og la brukerdata passivt utsettes for en potensiell avlytting.
Tilsvarende, selv om Bellabeat Leaf og Withings Health Mate kommuniserer med eksterne servere ved bruk av HTTPS, begge deler selskaper sendte vanlig tekst-e-poster til brukere for å bekrefte registreringsopplysningene sine, slik at brukere er åpne for mann-i-midten angrep. Enhver angriper som har kunnskap om Bellabeat eller Withings API, kunne få tilgang til et bredt spekter av personlig fitnessinformasjon på få minutter. Denne angrepsformen kan også brukes til å skyve ondsinnede eller falske data til den bærbare eller brukerens telefon.
Databehandling
Tre av fitness-tracker-appene som ble observert “var sårbare for en motivert bruker som oppretter falske genererte treningsdata for egen konto,” som lurte firmaets servere til å godta falske data. Åpen effekt og Citizen Lab laget flere applikasjoner designet for å lure fitness tracker-serverne til å godta falsk informasjon, med Bellabeat LEAF, Jawbone UP og Withings Health Mate som kommer på kort.
"Vi sendte en forespørsel til Jawbone om at testbrukeren vår tok ti milliarder skritt på en dag"
Deres anvendelse fordelte trinnstiminger jevnt i faste intervaller over en ønsket tidsramme, og skaper en kunstig trinnfordeling. Forskerne konkluderte med at en mer sofistikert tilnærming ville "tilfeldig tildele trinn for å etablere en mer realistisk utseende distribusjon" for ytterligere rømningsdeteksjon.
Hvorfor er dette et problem?
Treningssyklister kan opprettholde en kontinuerlig strøm av innsamling av personopplysninger Hvor mye av dine personlige data kan smarte enheter spore?Bekymringer for smarte hjem og sikkerhet er fortsatt like reelle som alltid. Og selv om vi elsker ideen om smart teknologi, er dette bare en av mange ting å være klar over før du dykker ... Les mer . Vanlige datainnsamlingsvektorer inkluderer fotspor, hjerteslag, søvnmønster, høyde, geolokasjoner, aktivitetskvalitet og typer aktiviteter.
Noen av treningssyklerne oppfordrer brukerne sine til å delta i ytterligere kondisjon eller sosiale aktiviteter, for eksempel å spesifisere mat for kaloritelling og analyse, personlig stemning på bestemte tider av døgnet (også i forhold til aktiviteter og mat forbruk), å logge treningsmålene sine 10 Excel-maler for å spore helse og helse Les mer og spore fremgang over tid Spor viktige områder i livet ditt på 1 minutt med Google-skjemaerDet er utrolig hva du kan lære om deg selv når du tar deg tid til å ta hensyn til dine daglige vaner og atferd. Bruk de allsidige Google Forms for å spore fremgangen din med viktige mål. Les mer , eller å konkurrere mot andre treningsentusiaster i gamified sosiale medier-stil dashbordmiljøer De beste appene for sosial kondisjon for å trene sammen med venner og familieFitness-apper for sosiale medier er kanskje en av de beste måtene å holde ansvar for overfor vennene dine, men du må finne appen som fungerer best for deg! Les mer .
Problemstillingene tatt opp av Åpen effekt og Citizen Lab illustrere farene ved å stole på treningssykling for å gi pålitelige personopplysninger i en rekke situasjoner. Data om fitness tracker har blitt brukt for å sikre forsikringer, eller representere fremskritt som er gjort med medisinske problemer, men vi ser likevel at dataene lett kan forfalskes.
Videre gjør disse dataproblemene selve naturen til disse fitness tracker-teknologiselskapene tvilsom? Hvordan oversettes disse dårlige forsøkene på databeskyttelse til sine andre produkter? Problemet er ikke bundet til bare fitness-trackere, og mer bør gjøres av både innbyggere og regulatorer for å sikre brukerdata er beskyttet til enhver tid, for ikke å finne hele bransjer undergravet av deres tilsynelatende manglende omsorg og skjønn med private data.
Hva nå?
Rapportens funn er klare: økt sikkerhet basert på anbefalingene fra Åpen effekt og Citizen Lab. Personlig og privat sikkerhet er alvorlig, og vi bør ta opp problemer når de ankommer. Men det er ikke bare forbedret sikkerhet som er nødvendig. Brukere av fitness tracker må forstå hvor dataene deres blir sendt til, hvor de er lagret og hvilke andre parter som har tilgang til dem.
Brukeren er på teknologiselskapene for å kommunisere med brukerne sine den fulle teknisk dybde overvåking de har frifunnet også, enten de innser det eller ikke, sammen med potensialet risikoer.
Er det på tide å kaste din fitness tracker bort? Sannsynligvis ikke, spesielt hvis du har en Apple Watch Ikke Apple Watch: 9 andre iPhone-vennlige WrarablesAnnonseringen av Apple Watch var stor nyhet, men det er langt fra den eneste bærbare enheten som er designet for å brukes med en iPhone. Les mer . Til tross for blandede reaksjoner på funnene i den tekniske rapporten fra produsentene av fitness tracker, er det lite sannsynlig at disse sårbarhetene vil eksistere lenge.
Eller, vi kan i det minste håpe at de ikke vil eksistere lenge.
Er du bekymret for din fitness tracker? Har du mistet data gjennom bærbar teknologi? Hva skjedde? Gi oss beskjed nedenfor!
Gavin er seniorforfatter for MUO. Han er også redaktør og SEO Manager for MakeUseOfs kryptofokuserte søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskriving med digital kunstpraksis piller fra åsene i Devon, i tillegg til over et tiår med profesjonell skrivingerfaring. Han liker store mengder te.