Ar jūsų kūno rengybos stebėtojas kelia pavojų jūsų saugumui?

Skelbimas

Svarstyti, iš kur nutekės mūsų duomenys, yra sudėtinga. Savo įrenginiuose imamės reikiamų atsargumo priemonių, diegiame antivirusinę programinę įrangą, vykdome kenkėjiškų programų nuskaitymą ir, tikimės, dvigubai ir trigubai patikriname el. Laiškus, kad būtų įtartina. Tai tik keli iš galimų atakos vektorių, kurie mūsų laukia.

Saugumo tyrėjai atskleidė, kad, be „įprastų“ prietaisų, viena iš naujausių technologija galėtų suteikti užpuolikams netikėtą, bet lengvai prieinamą kampą, kad pavogtų mūsų Asmeniniai duomenys. Sveikatos treniruokliai neseniai pateko į saugumo akiratį po to, kai techninėje ataskaitoje buvo išryškinta keletas rimtos saugumo spragos jų dizaine, teoriškai leidžiančios potencialiems užpuolikams sulaikyti jūsų asmeninius duomenys.

Mirtini kūno rengybos trūkumai

Treniruoklius matė beprecedentis populiarumo augimas 17 geriausių sveikatos ir kūno rengybos prietaisų, gerinančių jūsų kūnąPer pastaruosius kelerius metus sprogo naujovės, susijusios su sveikatos ir kūno rengybos programomis. Čia yra tik keletas nuostabių rinkinių, kuriuos galėsite naudoti, kad jaustumėtės puikiai.

Skaityti daugiau per pastaruosius kelerius metus. Vien 2015 m. Ketvirtąjį ketvirtį pardavimai smarkiai padidėjo 197% - nuo 7,1 iki 21 milijono vienetų. Rinkos analitikai „Parks Associates“ įvertinti pasaulinę kūno rengybos trackerių rinką toliau augs, padidėjo nuo 2 milijardų dolerių 2014 m. iki 5,4 milijardo dolerių 2019 m. Tai yra reikšmingas pelnas, rodantis vartotojų, kurie potencialiai patiria šį anksčiau nežinomą išpuolių vektorių, skaičių.

Kanados ne pelno siekianti tyrimų organizacija Atviras efektas, ir tarpdisciplininių tyrimų laboratorija „Citizen Lab“, išnagrinėjo aštuonis populiariausius šiuo metu prieinamus kūno rengybos drabužius: „Apple Watch“, „Basis Peak“, „ „Fitbit Charge HR“, „Garmin Vivosmart“, „Jawbone UP 2“, „Mio“ saugiklis, „Withings Pulse O2“ ir „Xiaomi Mi“ Juosta.

jungtinė tyrimų ataskaita siekė atrasti veiksmus, kurių imasi technologijos įmonės, siekdamos apsaugoti ir palaikyti jūsų duomenų saugumą. Nors mes žinome ir suprantame kūno rengybos stebėtojus, jie rinks širdies dūžius, pėdutes, kalorijas ir miegos duomenis, tyrėjai ištyrė, kas nutinka tiems duomenims, kai jie yra prietaiso rankose kūrėjai.

Kokie duomenys siunčiami į nuotolinį serverį? Kaip technologijos įmonės saugo duomenis? Su kuo juo dalijamasi? Kaip įmonės faktiškai naudojasi šia informacija?

Pagrindinės išvados:

• Septyni iš aštuonių kūno rengybos stebėjimo prietaisų skleidžia nuolatinius unikalius identifikatorius („Bluetooth Media Access Control“ adresą) gali parodyti, kad jų dėvėtojai gali ilgai stebėti savo buvimo vietą, kai įrenginys nėra suporuotas ir prijungtas prie mobiliojo telefono prietaisas.
• „Jawbone“ ir „Withings“ programos gali būti panaudotos kuriant netikrus fitneso grupių įrašus. Tokie suklastoti įrašai verčia abejoti tų kūno rengybos stebėtojų duomenų naudojimo teisingumu ir draudimo programomis patikimumu.
• „Garmin Connect“ programos („iPhone“ ir „Android“) ir „Withings Health Mate“ („Android“) programos saugos spragos, leidžiančios neteisėtai trečiajai šaliai skaityti, rašyti ir ištrinti vartotoją duomenys.
• „Garmin Connect“ savo „iOS“ ar „Android“ programose nenaudoja pagrindinės duomenų perdavimo saugumo praktikos ir todėl prižiūri arba sugadina kūno rengybos informaciją.

Patvarūs unikalūs identifikatoriai

Nešiojama technologija skleidžia nuolatinį „Bluetooth“ signalą. Nesvarbu, ar tai yra išmanusis laikrodis, ar kūno rengybos stebėjimo priemonė, šis signalas naudojamas nuolatiniam ryšiui su jūsų išmaniuoju telefonu palaikyti. Jų ryšys su išoriniu įrenginiu yra prižiūrimas naudojant MAC (Media Access Control) adresą IP ir MAC adresas: kam jie tinka?Internetas ne taip skiriasi nuo įprastų pašto paslaugų. Vietoj namų adreso turime IP adresus. Vietoj vardų turime MAC adresus. Kartu jie perduoda duomenis į jūsų duris. Štai ... Skaityti daugiau , unikaliai identifikuojantis kūno rengybos stebėtoją.

Treniruoklių stebėjimo srityje asmens duomenų saugumo priežiūros reikalavimas reikalauja, kad šie adresai būtų atsitiktinai parinkti taip, kad vartotojas negalėtų būti sekamas ir atpažįstamas pagal MAC adresą. „Bluetooth“ švyturiai, naudojami vis dažniau prekybos centruose, kuriant tikslinę reklamą mobiliesiems, gali sekti ir profiliuoti tuos įrenginius naudodami vieną MAC adresą (jie taip pat gali būti sukūrė bet kas, turintis tinkamą kompaktišką kompiuterį Sukurkite „pasidaryk pats“ „iBeacon“ su „Raspberry Pi“Skelbimai, skirti konkrečiam vartotojui, einančiam per didmiesčių centrą, yra distopinės ateities dalykai. Bet tai visai nėra distopinė ateitis: technologijos jau yra čia. Skaityti daugiau ). Iš tikrųjų tik iš „Apple Watch“ patikrintų prietaisų „MAC“ adresą atsitiktinai atrinko „maždaug per 10 minučių“, kad apsaugotų savo vartotojo tapatybę.

Užsiregistravus nuolatiniam MAC adresui, vartotojo buvimo vietą būtų galima lengvai sekti nuo švyturio iki švyturio. Jei prekybos centras nuspręstų rinkti informaciją apie vartotojo buvimo vietą viso apsilankymo metu metu, duomenys galėtų būti parduoti rinkodaros agentūrai ar kitam duomenų tarpininkui, iš anksto nepranešus vartotojui. Jei vienas duomenų tarpininkas gali nusipirkti kelis profilius, informacija gali būti sugretinta, kad būtų sudėtingesnė tikslinės reklamos profiliai, suaktyvinami kiekvieną kartą, kai vartotojas (ir jo unikalus įrenginio identifikatorius) įeina pastatas.

Programos yra tokios pat blogos

Kiekvienas kūno rengybos stebėjimo įrenginys turi savo stebėjimo programą, kurioje užfiksuota daugybė su kūno rengyba susijusių duomenų ir paverčiama jaukiu vaizdiniu vartotojo veiksmų vaizdavimu. Tačiau buvo nustatyta, kad pačios programos keliose perdavimo vietose skleidžia asmeninę informaciją.

Pavyzdžiui, galima tikėtis, kad bet koks asmens duomenų perdavimas bus toks užšifruoti naudojant bent HTTPS Kas yra HTTPS ir kaip įjungti saugius ryšius pagal nutylėjimąRūpesčiai dėl saugumo plinta toli ir plačiai ir yra žinomi daugumai visų pirma. Tokie terminai kaip antivirusinė ar ugniasienė nebėra keistas žodynas ir yra ne tik suprantami, bet ir vartojami ... Skaityti daugiau ; „Garmin Connect“ to nepadarė net ir palikdamas vartotojo duomenis pasyviai veikiamiems klausytojams.

Panašiai, nors „Bellabeat Leaf“ ir „Withings Health Mate“ bendrauja su nuotoliniais serveriais naudodamiesi HTTPS įmonės siuntė vartotojams paprasto teksto el. laiškus, kad patvirtintų savo registracijos kredencialus, paliekant vartotojams atvirumą išpuoliai. Bet kuris užpuolikas, turintis darbo žinių apie „Bellabeat“ ar „Withings“ API, per kelias minutes galėjo prieiti prie daugybės asmeninės informacijos apie kūno rengybą. Ši atakos forma taip pat gali būti naudojama kenkėjiškų ar melagingų duomenų perdavimui į nešiojamąjį arba vartotojo telefoną.

Duomenų klastojimas

Trys stebėtos kūno rengybos stebėjimo programos „buvo pažeidžiamos motyvuoto vartotojo, kuris savo sąskaitai sukuria melagingus duomenis apie kūno rengybą“, apgaudinėdamas įmonės serverius priimant suklastotus duomenis. Atviras efektas ir „Citizen Lab“ sukūrė keletą programų, skirtų apgauti kūno rengybos stebėjimo serverius, kad jie priimtų melagingą informaciją, netrukus pasirodysiantys „Bellabeat LEAF“, „Jawbone UP“ ir „Withings Health Mate“.

„Mes„ Jawbone “išsiuntėme prašymą, kuriame nurodėme, kad mūsų testo vartotojas per dieną žengė dešimt milijardų žingsnių“.

Jų taikymas tolygiai paskirstė žingsnių laiką į nustatytus intervalus per norimą laiką, sukurdamas dirbtinį žingsnių paskirstymą. Tyrėjai padarė išvadą, kad sudėtingesnis požiūris „atsitiktinai paskirs veiksmus, kad būtų sukurtas realistiškesnis pasiskirstymas“, kad būtų galima toliau vengti aptikimo.

Kodėl tai yra problema?

Treniruokliai gali palaikyti nuolatinį asmens duomenų rinkimo srautą Kiek jūsų asmeninių duomenų galėtų stebėti išmanieji įrenginiai?Protingi namų privatumo ir saugumo klausimai vis dar yra realūs. Ir nors mums patinka išmaniųjų technologijų idėja, tai yra tik vienas iš daugelio dalykų, kuriuos reikia žinoti prieš nardymą ... Skaityti daugiau . Įprasti duomenų rinkimo vektoriai yra pėdsakai, širdies plakimas, miego įpročiai, pakilimas, geografinė padėtis, veiklos kokybė ir veiklos rūšys.

Kai kurie kūno rengybos stebėtojai skatina savo vartotojus užsiimti papildoma kūno rengybos ar socialine veikla, pavyzdžiui, nurodyti maistą kalorijų skaičiavimui ir analizei, asmeninei nuotaikai tam tikru dienos metu (taip pat atsižvelgiant į veiklą ir maistą) vartojimas), užsiregistruoti savo kūno rengybos tikslus 10 „Excel“ šablonų jūsų sveikatai ir kūno rengybai stebėti Skaityti daugiau ir stebėti progresą bėgant laikui Stebėkite pagrindines gyvenimo sritis per 1 minutę naudodami „Google“ formasNuostabu, ko galite sužinoti apie save, kai skiriate laiko savo kasdieniniams įpročiams ir elgesiui. Naudodami universaliąsias „Google“ formas stebėkite savo pažangą siekdami svarbių tikslų. Skaityti daugiau , arba konkuruoti su kitais kūno rengybos entuziastais „Gamified“ socialinės žiniasklaidos stiliaus prietaisų skydelio aplinka Geriausios socialinio kūno rengybos programos, skirtos sportuoti su draugais ir šeimaSocialinės medijos kūno rengybos programos gali būti vienas iš geriausių būdų, kaip išlaikyti atskaitomybę savo draugams, tačiau turite rasti jums tinkamiausią programą! Skaityti daugiau .

Klausimai, kuriuos iškėlė Atviras efektas ir „Citizen Lab“ iliustruoja pavojų, kai pasitikėjimas kūno rengybos treniruokliais teikia patikimus asmens duomenis įvairiose situacijose. Treniruotės stebėjimo priemonės duomenys buvo naudojami norint apsaugoti draudimo polisus arba parodyti pažangą, padarytą sprendžiant medicinos problemas, tačiau matome, kad duomenys gali būti lengvai klastojami.

Be to, ar dėl šių duomenų kyla abejonių dėl šių kūno rengybos stebėjimo technologijų įmonių prigimties? Kaip šie prasti duomenų apsaugos bandymai paverčiami jų kitais produktais? Ši problema nėra susijusi tik su treniruokliais, todėl piliečiai ir reguliavimo institucijos turėtų nuveikti daugiau, kad užtikrintų vartotojų duomenis yra visada saugomas, kad nerastume, kad ištisoms pramonės šakoms pakenktų jų akivaizdus privatumo ir nerūpestingumo stoka duomenys.

Kas toliau?

Ataskaitos išvados yra aiškios: padidintas saugumas, pagrįstas Atviras efektas ir „Citizen Lab“. Asmeninis ir privatus saugumas yra rimtas dalykas, ir mes turėtume spręsti problemas, kai tik jie atvyks. Bet reikalingas ne tik padidintas saugumas. Fitneso stebėjimo priemonės vartotojai turi suprasti, kur siunčiami jų duomenys, kur jie yra saugomi ir kurios kitos šalys turi prieigą prie jų.

Technologijų įmonės privalo bendrauti su savo vartotojais visais techniniais būdais Priežiūra, kuriai jie sutiko, nesvarbu, ar jie tai realizuoja, ar ne, kartu su jos galimybėmis rizika.

Ar laikas mesti savo kūno rengybos stebėtoją? Tikriausiai ne, ypač jei turite „Apple Watch“ Ne „Apple Watch“: 9 kiti „iPhone“ draugiški nešiojami drabužiai„Apple Watch“ pranešimas buvo didžiulė naujiena, tačiau tai toli gražu nėra vienintelis nešiojamas įrenginys, skirtas naudoti su „iPhone“. Skaityti daugiau . Nepaisant įvairių reakcijų į kūno rengybos treniruoklių gamintojų techninės ataskaitos išvadas, mažai tikėtina, kad šie pažeidžiamumai egzistuos dar ilgai.

Arba galime bent jau tikėtis, kad jie ilgai neliks.

Ar nerimaujate dėl savo fitneso stebėjimo priemonės? Ar praradote duomenis naudodamiesi nešiojamomis technologijomis? Kas nutiko? Praneškite mums žemiau!