Inteligentne urządzenia noszone na sobie, w tym smartwatche i opaski fitnessowe, lub aplikacje do pomiaru aktywności fizycznej, są powszechnie wykorzystywane podczas aktywności sportowej w celu monitorowania zdrowia, otrzymywania powiadomień itd. W celu wykonywania swoich głównych funkcji większość tych urządzeń jest wyposażona we wbudowane czujniki przyspieszenia (akcelerometry), które często są połączone z czujnikami obrotu (żyroskopy) umożliwiającymi pomiar liczby kroków oraz określenie aktualnej pozycji użytkownika. Eksperci z Kaspersky Lab postanowili zbadać, jakie informacje dotyczące użytkownika mogą zostać przekazane przez takie czujniki nieupoważnionym osobom trzecim. W tym celu przyjrzeli się bliżej kilku smartwatchom różnych producentów.

Aby zbadać tę kwestię, eksperci opracowali dość prostą aplikację na smartwatcha, która rejestrowała sygnały z wbudowanych akcelerometrów i żyroskopów. Rejestrowane dane były następnie zapisywane do pamięci urządzenia lub przesyłane do sparowanego przy pomocy technologii Bluetooth smartfona.

Przy użyciu algorytmów matematycznych możliwe było zidentyfikowanie schematów zachowania, jak również kiedy, gdzie i jak długo użytkownicy byli w ruchu. Co najistotniejsze, można było zidentyfikować „wrażliwe” aktywności użytkownika, takie jak wprowadzanie hasła na komputerze (z dokładnością do 96%), wpisywanie PIN-u w bankomacie (dokładność około 87%) oraz odblokowywanie telefonu komórkowego (dokładność około 64%).

Wspomniany zestaw danych pozwala zatem na zdefiniowanie schematu zachowania unikatowego dla właściciela urządzenia. Jednak przy użyciu tych informacji potencjalny atakujący może pójść o krok dalej i spróbować zidentyfikować tożsamość użytkownika – za pośrednictwem adresu e-mail żądanego na etapie rejestracji aplikacji lub za pośrednictwem aktywowanego dostępu do danych uwierzytelniających do konta w systemie Android. Następnie zidentyfikowanie szczegółowych informacji dot. ofiary, w tym jej rutynowych czynności i momentów wprowadzania istotnych danych, to już tylko kwestia czasu. A biorąc pod uwagę rosnącą wartość prywatnych danych użytkowników, perspektywa wykorzystywania takich informacji przez osoby trzecie do osiągnięcia zysków nie wydaje się odległa.

Nawet jeśli cyberprzestępcy nie wykorzystają tych możliwości do zarabiania pieniędzy, ale do własnych szkodliwych celów, możliwe konsekwencje będą ograniczone jedynie ich wyobraźnią i poziomem wiedzy technicznej. Możliwe jest np. odszyfrowanie otrzymanych sygnałów przy użyciu sieci neuronowych, zastawienie pułapki na ofiary lub zmodyfikowanie bankomatu, z którego regularnie korzysta dana ofiara. Jak mogliśmy się już przekonać, przestępcy są w stanie uzyskać 80% dokładność podczas prób odszyfrowania sygnałów akcelerometru czy identyfikowania hasła lub kodu PIN wyłącznie przy użyciu danych zebranych z czujników smartwatcha.

Badacze zalecają użytkownikom zwracanie uwagi na następujące podejrzane sygnały podczas noszenia inteligentnych urządzeń.

Aplikacja wysyła żądanie pobrania informacji dotyczących konta użytkownika – takie zdarzenie powinno wzbudzić niepokój, ponieważ przestępcy mogą łatwo stworzyć „cyfrowy odcisk palca” właściciela urządzenia.

Niepokojącym sygnałem jest również żądanie przez aplikację zgody na wysyłanie danych geolokalizacyjnych. Nie należy udzielać dodatkowych zezwoleń aplikacjom do pomiaru aktywności fizycznej pobieranym na smartwatcha ani ustawiać swojego firmowego adresu e-mail jako loginu.

Należy również zwracać uwagę na przyspieszone zużycie baterii urządzenia. Jeśli gadżet wyczerpuje się w ciągu zaledwie kilku godzin zamiast jednego dnia, należy sprawdzić, co tak naprawdę robi. Może rejestrować sygnały lub, co gorsza, wysyłać je na zewnątrz.

Źródło: Kaspersky Lab Polska