Video: Section 10 (Octombrie 2024)
Când atingeți 10.000 de pași sau atingeți un alt obiectiv de urmărire de fitness, doriți să împărtășiți realizarea cu prietenii, nu? În funcție de dispozitivul pe care îl utilizați, este posibil să partajați și informațiile private cu lumea sau cu toți cei din apropiere. Cercetătorii de la AV-Test Institute au analizat securitatea a nouă trackers de fitness populari, iar unele dintre rezultatele lor nu au fost destul de frumoase.
Pe scurt, Fitbit Charge și Acer Liquid Leap nu asigură deloc conexiunile lor Bluetooth. Aceasta înseamnă că datele dvs. pot fi transferate. Jawbone Up24 și Sony Smartband Talk SWR30 au făcut cea mai bună muncă în protejarea datelor utilizatorilor.
Desigur, un singur articol din linia de produse a fiecărei companii a fost testat, dar prudența prevede presupunerea că rezultatele se aplică peste tot. Doar pentru că aveți un Fitbit Surge și nu o taxă Fitbit nu înseamnă că sunteți în siguranță.
Cui ii pasa?
Dar așteaptă, poți spune, nu mă interesează cine îmi vede datele; Sunt mândru de fitness-ul meu! Raportul notează câteva motive pentru care această atitudine poate fi naivă. De exemplu, unii asigurători de sănătate oferă rate mai mici clienților care își dovedesc aptitudinea folosind un tracker. Un utilizator fără scrupule ar putea deturna datele unui vecin mai potrivite pentru a obține rata mai mică sau pentru a fura datele și pentru a le păstra pentru răscumpărare.
Dacă datele dispozitivului nu sunt securizate, ar putea fi bine modificate din exterior. "Nu va trece mult timp până când copiii vor juca farse pe yuppie de jogging, prin creșterea tensiunii arteriale și a datelor pulsului cu câteva crestături", notează raportul, oferind astfel ipohondriilor și mai multe lucruri de care să vă faceți griji. Într-adevăr, raportul descrie cât de ușor au reușit cercetătorii să preia un anumit dispozitiv.
Promiscuitate Bluetooth
Toate trackerele testate folosesc Bluetooth pentru a se conecta cu o aplicație Android. Când este pusă în aplicare corect, împerecherea Bluetooth poate fi destul de sigură. Sony Smartband Talk SWR30, Polar Loop și Withings Pulse Ox devin invizibile pentru alte dispozitive odată împerecheate cu telefonul. Garmin Vivosmart și Huawei TalkBand B1 necesită autentificare pentru împerechere. Jawbone Up24 și LG Lifeband Touch FB84 merg mai departe, necesitând acces fizic la dispozitiv pentru împerechere.
Celelalte două, Acer Liquid Leap și Fitbit Charge, nu asigură deloc conexiunea BlueTooth. În special, Fitbit Charge se va asocia cu orice dispozitiv Bluetooth care se află în raza de acțiune, iar datele cu text simplu nu sunt protejate deloc. Produsele Jawbone și Huawei nu sunt atât de deschise, dar se vor asorta cu mai multe dispozitive. În ceea ce privește Acer Liquid Leap, se pare că este nevoie de autentificare folosind un cod PIN, dar codul este derivat static din numele public al dispozitivului.
Securizarea aplicației
Programele Android sunt diferite de programele executabile compilate care rulează sub Windows. Oricine poate decompila un program Android înapoi la codul său sursă folosind instrumente disponibile. Un hacker ar putea utiliza codul sursă pentru a determina modul în care o aplicație de fitness comunică cu tracker-ul corespunzător și să scrie o aplicație falsificată pentru a prelua această comunicare.
Programatorii inteligenți Android folosesc instrumente și tehnici pentru a obține codul programului, ceea ce face dificilă inginerie inversă. De asemenea, dezactivează funcțiile de înregistrare, care sunt utile în timpul creării programului, dar care oferă detalii interne ale aplicației. Și bineînțeles, compilează versiunea finală cu depanarea oprită.
Doar două dintre produsele testate, Jawbone Up24 și Sony Smartband Talk SWR30, au utilizat toate aceste trei tehnici. Huawei și Withings au lansat codul de depanare, cu logare activată și au aplicat doar funcționalitate limitată. Acer și LG Lifeband nu au încercat să folosească inginerie inversă.
Cercetătorii AV-Test au creat cu ușurință o aplicație falsă care ar putea aspira date de pe dispozitivul Acer. Au reușit chiar să schimbe înregistrările interne ale dispozitivului, astfel încât „antrenamentul zilei s-a finalizat în doar câteva secunde, fără a sparge transpirația”.
Vești rele, vești bune
Dacă ți-ai înrădăcinat telefonul, ești mult mai vulnerabil la toate tipurile de hacking, inclusiv la hacking-urile de fitness tracker. Vestea bună este că toate dispozitivele testate își păstrează corect datele în memoria protejată. Vestea proastă este că, dacă ai înrădăcinat telefonul, memoria respectivă nu mai este protejată.
Mai multe vești bune - toate aplicațiile testate și-au protejat corect datele în tranzit către cloud. Au criptat datele și le-au transmis folosind
- Cele mai bune trackere de fitness pentru 2019 Cele mai bune trackere de fitness pentru 2019
- Jawbone UP24 Jawbone UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Câștigători și Pierdători
Raportul complet detaliază exact ceea ce au învățat cercetătorii și arată că securitatea disponibilă în acest domeniu de produs diferă foarte mult. Un grafic la îndemână identifică 11 puncte importante pentru securitatea trackerului de fitness. În partea de sus, Sony Smartband Talk SWR30 a ratat doar unul - nu puteți dezactiva Bluetooth de la tracker. Polar Loop a ratat același punct și, de asemenea, nu a făcut tot posibilul împotriva ingineriei inverse, dar totuși este destul de bine.
La celălalt capăt al spectrului, Acer Liquid Leap a ratat nouă dintre cele 11 puncte. A obținut credit pentru păstrarea datelor în memoria protejată și credit parțial pentru protejarea comunicării interne; asta e tot. Fitbit Charge a ratat opt elemente de securitate, inclusiv toate cele legate de protejarea comunicațiilor Bluetooth.
Echipa AV-Test a notificat oficial toate vânzările despre constatările lor. Planifică investigații suplimentare, odată ce vânzătorii au avut timp să-și intensifice jocul de securitate.
