Reklaam

Raske ülesanne on kaaluda, kust meie andmed lekivad. Me rakendame oma seadmetes vajalikke ettevaatusabinõusid, installime viirusetõrjetarkvara, käitame pahavara skannimist ja loodetavasti kahe- ja kolmekordseid e-kirju kontrollime kahtlaste suhtes. Need on vaid mõned potentsiaalsed rünnakuvektorid, kes meid ootavad.

Turvauurijad on avastanud, et peale meie “tavaliste” seadmete on ka üks uusimaid vorme tehnoloogia võiks pakkuda ründajatele ootamatu, kuid hõlpsasti juurdepääsetava nurga, et meie varastada isiklikud andmed. Treeningjälgijad sattusid hiljuti turvalisuse tähelepanu keskpunkti pärast seda, kui tehniline aruanne tõi välja rea nende disainilahenduste tõsised turvavead, võimaldades teoreetiliselt potentsiaalsetel ründajatel teie isiklikku pealtkuulamist kinni pidada andmed.

Surmaga lõppevad fitnessivigu

Fitness jälitajad on näinud enneolematu populaarsuse tõus 17 parimat tervise- ja treenimisvidinat oma keha parandamiseksViimase paari aasta jooksul on tervise- ja spordialaste vidinate uuendused plahvatuslikult kasvanud. Siin on vaid mõned hämmastavad komplektid, mida saate kasutada, et end suurepäraselt tunda.

instagram viewer
Loe rohkem viimase paari aasta jooksul. Ainuüksi 2015. aasta 4. kvartalis kasvas müük massiliselt 197%, 7,1 miljonilt 21 miljonile ühikule. Turuanalüütikud Parks Associates hinnata ülemaailmset treenimisjälgijate turgu kasvab jätkuvalt, tõustes 2 miljardilt dollarilt 2014. aastal 5,4 miljardi dollarini 2019. aastal. Need on märkimisväärsed kasumid, mis näitavad nende kasutajate arvu, kes võivad end selle seni tundmatu rünnakuvektoriga kokku puutuda.

Tervise jälgimisseadmed, mis sisalduvad uuringus nr.

Kanada mittetulunduslik uurimisorganisatsioon Avatud efekt, ja interdistsiplinaarne uurimislabor Kodanikulabor, uuris kaheksa kõige populaarsemat spordikandjat, mis on praegu saadaval: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, Withings Pulse O2 ja Xiaomi Mi Bänd.

kombineeritud uuringute aruanne püüdis leida samme, mida tehnoloogiaettevõtted teie andmete turvalisuse kaitsmiseks ja säilitamiseks astuvad. Ehkki me teame ja mõistame treeningu jälgijaid, koguvad nad südamelööke, jälgi, kaloreid ja und andmeid, uurisid teadlased, mis juhtub nende andmetega, kui need on seadme käes arendajad.

Milliseid andmeid saadetakse serverisse? Kuidas tehnoloogiaettevõtted andmeid turvavad? Kellega seda jagatakse? Kuidas ettevõtted seda teavet tegelikult kasutavad?

Peamised leiud sisaldasid:

  • Seitse kaheksast treeninguseadmetest väljastavad püsivaid kordumatuid tunnuseid (Bluetooth Media Access Control aadress) võivad paljastada oma kandja pikaajalise asukoha jälgimise, kui seade pole mobiiliga seotud ja temaga ühendatud seade.
  • Jawbone'i ja Withingsi rakendusi saab kasutada võlts-fitness-bändide plaatide loomiseks. Sellised võltsdokumendid seavad kahtluse alla tervisekontrolli jälgija andmete kasutamise usaldusväärsuse kohtuasjades ja kindlustusprogrammides.
  • Rakendused Garmin Connect (iPhone ja Android) ja Withings Health Mate (Android) turvahaavatavused, mis võimaldavad volitamata kolmandal osapoolel kasutajat lugeda, kirjutada ja kustutada andmed.
  • Garmin Connect ei kasuta oma iOS-i ega Androidi rakenduste jaoks põhilisi andmeedastuse turvalisuse tavasid ja seab seetõttu treeninguteabe jälgimise või rikkumise alla.

Püsivad kordumatud identifikaatorid

Kantav tehnoloogia eraldab püsivat Bluetooth-signaali. Ükskõik, kas nutikell või fitness-jälgija - seda signaali kasutatakse nutitelefoniga pidevaks suhtlemiseks. Nende suhtlus välise seadmega on hooldatakse MAC (Media Access Control) aadressi abil IP- ja MAC-aadress: milleks need sobivad?Internet ei erine tavalisest postiteenusest nii palju. Koduse aadressi asemel on meil IP-aadressid. Nimede asemel on meil MAC-aadressid. Koos saavad nad andmed teie ukseni. Siin on ... Loe rohkem , mis tuvastab unikaalselt sobivuse jälgija.

MAC-aadressi näide

Treeningjälgijate kontekstis nõutakse isikuandmete turvalisuse säilitamiseks, et need aadressid randomiseeritaks, tagamaks, et kasutajat ei saa jälgida ja MAC-aadressi abil tuvastatakse. Bluetoothi ​​majakad, mida üha sagedamini kasutatakse kaubanduskeskustes sihitud mobiilireklaamide loomiseks, saavad neid seadmeid jälgida ja profiilida, kasutades ühte MAC-aadressi (need võivad olla ka ehitatud kellegi poolt, kellel on sobiv kompaktne arvuti Ehitage DIY iBeacon koos Raspberry Pi-gaReklaamid, mis on suunatud kindlale kasutajale, kes kõnnib suurlinna keskusest, on düstoopiliste tulevikute värk. Kuid see pole üldse düstoopiline tulevik: tehnoloogia on juba siin. Loe rohkem ). Tõepoolest, ainult Apple Watch randomiseeris oma kasutaja identiteedi kaitsmiseks oma MAC-aadressi "umbes 10-minutise intervalliga".

Kui püsiv MAC-aadress on sisse logitud, on kasutaja asukohta võimalik majakast kuni majakani jälgida. Kui kaubanduskeskus otsustab kogu ostuvisiidi vältel koguda kasutaja asukohateavet, võib andmed müüa turundusagentuurile või muule andmemaaklerile, sellest kasutajat eelnevalt teavitamata. Kui üks andmemaakler saab osta mitu profiili, saab teabe keerukamaks muutmiseks koguda sihitud reklaamiprofiilid, mis aktiveeritakse iga kord, kui kasutaja (ja nende kordumatu seadme identifikaator) siseneb hoone.

Rakendused on sama halvad

Igal fitnessi jälgijal on oma monitoorimisrakendus, mis hõivab hulgaliselt spordiga seotud andmeid ja muudab selle kasutajate toimingute kena visuaalseks kujutamiseks. Siiski on leitud, et rakendused ise lekitavad isiklikku teavet mitmes edastuskohas.

Fitness Tracker turvaprotokollid

Näiteks võib eeldada, et mis tahes isikuandmete edastamine toimub krüptitud vähemalt HTTPS-i abil Mis on HTTPS ja kuidas turvalisi ühendusi vaikimisi lubadaJulgeolekuprobleemid levivad kaugele ja laialdaselt ning on jõudnud enamiku kõigi tähelepanu keskpunkti. Sellised mõisted nagu viirusetõrje või tulemüür pole enam võõras sõnavara ja neid mitte ainult ei mõisteta, vaid kasutatakse ka ... Loe rohkem ; Garmin Connect ei suutnud seda isegi teha, jättes kasutajaandmed potentsiaalse pealtkuulaja passiivseks.

Samamoodi, kuigi Bellabeat Leaf ja Withings Health Mate suhtlevad kaugserveritega, kasutades HTTPS-i, mõlemad ettevõtted saatsid kasutajatele tavalise tekstiga meilisõnumeid, et kinnitada oma registreerumise mandaati, jättes kasutajad avatuks keskmisele inimesele rünnakud. Kõik ründajad, kellel on Bellabeat'i või Withings API-st praktilised teadmised, pääsesid minutitega suurele hulgale isiklikule treeninguteabele. Seda rünnakuvormi saab kasutada ka pahatahtlike või valeandmete edastamiseks kantavale kasutajale või kasutaja telefoni.

Andmete rikkumine

Kolm jälgitud tervisekontrollirakendust olid haavatavad motiveeritud kasutajatele, kes loovad oma konto jaoks valesti loodud terviseandmeid, meelitades ettevõtte servereid võltsandmeid vastu võtma. Avatud efekt ja Kodanikulabor lõi mitu rakendust, mis on mõeldud tervisekontrolli serverite petmiseks valeandmete aktsepteerimiseks, peagi tulevad turule Bellabeat LEAF, Jawbone UP ja Withings Health Mate.

"Saatsime Jawbone'ile taotluse, milles teatasime, et meie testi kasutaja tegi ühe päeva jooksul kümme miljardit sammu."

Nende rakendamine jagas sammude ajastus ühtlaselt kindla ajavahemiku jooksul soovitud aja jooksul, luues etappide kunstliku jaotuse. Teadlased jõudsid järeldusele, et keerukam lähenemisviis eraldaks juhuslikult sammud realistlikuma ilmega jaotuse loomiseks, et edasist põgenemist tuvastada.

Miks see probleem on?

Fitnessi jälgijad saavad säilitada pidevat isikuandmete kogumise voogu Kui palju teie isiklikest andmetest võiks nutiseadmeid jälgida?Nutika kodu privaatsuse ja turvalisusega seotud probleemid on endiselt sama reaalsed kui kunagi varem. Ja kuigi me armastame nutitehnoloogia ideed, on see vaid üks paljudest asjadest, mida enne sukeldumist teadvustada ... Loe rohkem . Levinumate andmekogumisvektorite hulka kuuluvad jäljed, südamelöögid, unehäired, tõus, geograafiline asukoht, tegevuste kvaliteet ja tegevuste tüübid.

Mõned treenimisjälgijad julgustavad oma kasutajaid tegelema täiendavate spordi- või seltskondlike tegevustega, näiteks toidu määratlemisega küttearvestus ja analüüs, isiklik meeleolu konkreetsel kellaajal (ka seoses tegevuste ja toiduga) tarbimine), nende sobivuseesmärkide registreerimiseks 10 Exceli malli tervise ja tervisliku seisundi jälgimiseks Loe rohkem ja jälgida edusamme aja jooksul Jälgige oma elu peamisi valdkondi ühe minutiga Google'i vormidegaOn hämmastav, mida saate enda kohta õppida, kui võtate aega oma igapäevastele harjumustele ja käitumisele tähelepanu pöörata. Oma oluliste eesmärkide saavutamise jälgimiseks kasutage mitmekülgset Google'i vorme. Loe rohkem või konkureerida teiste spordiklubi harrastajatega gamified social media-stiilis armatuurlaua keskkonnad Parimad sõprade ja perega treenimiseks mõeldud sotsiaalse treeningu rakendusedSotsiaalmeedia fitnessirakendused võivad olla üks parimaid viise, kuidas jääda oma sõprade ees vastutavaks, kuid peate leidma rakenduse, mis teie jaoks kõige paremini sobib! Loe rohkem .

- tõstatatud probleemid Avatud efekt ja Kodanikulabor illustreerib ohtusid, mis on seotud tervisekontrolli jälgijatele usaldusväärsete isikuandmete esitamisega erinevates olukordades. Treeningu jälgimise andmeid on kasutatud kindlustuspoliiside kindlustamiseks või meditsiiniliste probleemidega seotud edusammude kajastamiseks, kuid näeme, et andmeid on hõlpsalt võimalik võltsida.

Lisaks sellele, kas need andmeprobleemid muudavad nende fitness-jälgimise tehnoloogiaettevõtete olemuse küsitavaks? Kuidas saavad need kehvad andmekaitsekatsed üle nende teistesse toodetesse? Probleem ei ole seotud ainult spordijälgijatega ning kasutajaandmete tagamiseks peaksid nii kodanikud kui ka seadusandjad rohkem ära tegema on alati kaitstud, et leiame, et terveid majandusharusid ei kahjusta nende näiline hoolitsuse ja eraõiguslikkuse puudumine andmed.

Mis edasi?

Aruande järeldused on selged: suurenenud turvalisus põhineb Avatud efekt ja Kodanikulabor. Isiklik ja privaatne turvalisus on tõsine ning me peaksime probleemidega tegelema nende saabudes. Kuid vaja pole mitte ainult täiustatud turvalisust. Treeningu jälgimise kasutajad peavad mõistma, kuhu nende andmed saadetakse, kuhu neid hoitakse ja millistel teistel osapooltel on neile juurdepääs.

Tehnoloogiaettevõtted peavad oma kasutajatega suhelda kogu tehnilise põhjalikkusega järelevalvega, mille nad on ka heaks kiitnud, sõltumata sellest, kas nad saavad sellest aru või mitte, koos selle võimalustega riskid.

Kas on aeg visata oma fitnessi jälgija minema? Ilmselt mitte, eriti kui teil on Apple Watch Mitte Apple Watch: 9 muud iPhone-sõbralikud kantavadApple Watchi teadaanne oli suur uudis, kuid see pole kaugeltki ainus kantav seade, mis on mõeldud kasutamiseks koos iPhone'iga. Loe rohkem . Vaatamata segasele reageerimisele tervisekontrolli jälgimisseadmete tootjate tehnilise aruande järeldustele, on ebatõenäoline, et need haavatavused püsivad pikka aega.

Või võime vähemalt loota, et neid kaua ei eksisteeri.

Kas olete mures oma tervise jälgija pärast? Kas olete kantava tehnoloogia abil andmeid kaotanud? Mis juhtus? Andke meile allpool teada!

Gavin on MUO vanemkirjanik. Ta on ka MakeUseOfi krüpteerimisele keskendunud õdede saidi Blocks Decoded toimetaja ja SEO Manager. Tal on kaasaegne kirjutamine bakalaureusekraadiga (Hons) koos digitaalse kunsti praktikatega, mis on laotud Devoni künkadest, samuti enam kui kümneaastane professionaalne kirjutamiskogemus. Ta naudib ohtralt teed.