Er din Fitness Tracker å sette sikkerheten din i fare?
Tatt i betraktning hvor dataene våre kommer til å lekke fra, er en vanskelig oppgave. Vi tar de nødvendige forholdsregler på tvers av enhetene våre, installerer antivirusprogramvare, kjører malware-skanninger, og forhåpentligvis dobbelt- og trippel-sjekker e-postmeldinger for noe mistenkelig. Disse er bare noen få av de potensielle angrepsvektorer som venter på oss.
Sikkerhetsforskere har avslørt at bortsett fra vår “regelmessig” enheter, kan en av de nyeste teknologiene gi angripere en uventet, men lett tilgjengelig vinkel for å stjele våre personlige data. Treningssporere har nylig kommet under sikkerhetslyset etter en teknisk rapport uthevet en rekke alvorlige sikkerhetsfeil i deres design, og teoretisk tillater potensielle angripere å fange opp dine personlige data.
Fatal Fitness Flaws
Fitness trackers har sett en hidtil uskikket økning i popularitet 17 Best Health and Fitness Gadgets for å forbedre kroppen din 17 Beste helse og fitness Gadgets for å forbedre kroppen din I løpet av de siste årene har innovasjon rundt helse og fitness gadgets eksplodert. Her er bare noen få av de fantastiske brikkene du vil kunne bruke for å få deg til å føle deg bra. Les mer gjennom de siste årene. Det fjerde kvartalet i 2015 solgte en enorm økning på 197% fra år til år, fra 7,1 millioner til 21 millioner enheter. Markedsanalytikere Parks Associates anslår at det globale treningsspormarkedet vil fortsette å vokse, stiger fra 2 milliarder dollar i 2014 til 5,4 milliarder dollar i 2019. Dette er betydelige gevinster, noe som indikerer antall brukere som potensielt utsetter seg for denne tidligere ukjente angrepsvektoren.
Kanadisk ikke-for-profit forskningsorganisasjon Open Effect, og tverrfaglig forskningslaboratorium Citizen Lab, undersøkte åtte av de mest populære fitness wearables som er tilgjengelig for øyeblikket: Apple Watch, Basis Peak, Fitbit Charge HR, Garmin Vivosmart, Jawbone UP 2, Mio Fuse, The Withings Pulse O2 og Xiaomi Mi Band.
Den kombinerte forskningsrapporten forsøkte å finne frem til trinnene teknologibesøkene tar for å beskytte og vedlikeholde datasikkerhet. Selv om vi kjenner og forstår treningssporere vil samle hjerteslag, fotspor, kalorier og søvndata, undersøkte forskerne bare hva som skjer med dataene når det er i hendene på enhetsutviklere.
Hvilke data sendes til en ekstern server? Hvordan sikrer teknologibedrifter dataene? Hvem er det delt med? Hvordan bruker selskapene faktisk bruk av informasjonen?
Nøkkelfunksjoner inkludert:
- Sju av åtte treningssporingsenheter avgir vedvarende unike identifikatorer (Bluetooth Media Access Control-adresse) som kan utsette sine brukere for langsiktig sporing av deres plassering når enheten ikke er sammenkoblet og koblet til en mobil enhet.
- Jawbone and Withings-applikasjoner kan utnyttes for å lage falske treningsbandrekord. Slike falske registreringer stiller spørsmålstegn ved påliteligheten til den aktuelle treningsdatabasenes bruk i rettssaker og forsikringsprogrammer.
- Garmin Connect-applikasjonene (iPhone og Android) og Withings Health Mate (Android) -applikasjonen har sikkerhetsproblemer som gjør at en uautorisert tredjepart kan lese, skrive og slette brukerdata.
- Garmin Connect benytter ikke grunnleggende dataoverføringssikkerhetspraksis for sine iOS- eller Android-applikasjoner og avslører derfor treningsinformasjon til overvåking eller manipulering.
Vedvarende unike identifikatorer
Slitesterk teknologi gir et vedvarende Bluetooth-signal. Enten smartwatch eller treningssporing, brukes dette signalet til å kommunisere med smarttelefonen din. Deres kommunikasjon med den eksterne enheten opprettholdes ved hjelp av en MAC (Media Access Control) -adresse. Hva er en MAC-adresse og kan den brukes til å sikre hjemmenettverket ditt? [MakeUseOf Forklarer] Hva er en MAC-adresse og kan den brukes til å sikre hjemmenettverket ditt? [MakeUseOf Forklarer] Nettverksstruktur og ledelse har sin egen lingo. Noen av vilkårene som kastes rundt, vil trolig allerede være kjent for deg. Ethernet og Wi-Fi er i stor grad selvopplagte konsepter, selv om det kan kreve litt ... Les mer, unikt identifisere treningssporeren.
I forbindelse med treningssporere krever personlig datasikkerhetsvedlikehold disse adressene randomisert for å sikre at brukeren ikke kan spores og identifiseres av MAC-adressen. Bluetooth-beacons, som brukes med økende frekvens i kjøpesentre for å skape målrettet mobilannonsering, kan spore og profilere disse enhetene ved hjelp av en enkelt MAC-adresse (de kan også bygges av alle med en egnet, kompakt datamaskin. Bygg en DIY iBeacon med en Raspberry Pi Build en DIY iBeacon med en Raspberry Pi Annonser rettet mot en bestemt bruker som går gjennom et storby sentrum er ting av dystopiske futures. Men det er ikke en dystopisk fremtid i det hele tatt: teknologien er allerede her. Les mer). Faktisk av enhetene som ble testet, var Apple Watch randomisert til MAC-adressen “på et omtrent 10 minutters intervall” for å beskytte brukerens identitet.
Med den vedvarende MAC-adressen som ble logget, kunne brukerens plassering spores fra sporet til fyret. Hvis et kjøpesenter bestemmer seg for å samle inn brukerplasseringsinformasjon i løpet av deres shoppingbesøk, kan dataene selges til et markedsføringsbyrå eller annen datakonsulent uten å varsle brukeren først. Hvis en enkelt data megler kan kjøpe flere profiler, kan informasjon samles for å bygge sofistikerte målrettede annonseringsprofiler, aktivert hver gang brukeren (og deres unike enhetsidentifikator) kommer inn i bygningen.
Appene er like like dårlige
Hver treningssporing kommer med sin egen overvåkingsapp, fanger overflod av treningsrelaterte data og oversetter den til en fin visuell avbildning av brukerens handlinger. Appene har imidlertid vist seg å lekke personlig informasjon, på flere overføringssteder.
For eksempel kan man forvente at overføring av personlige data skal krypteres ved hjelp av HTTPS i det minste Hva er HTTPS og hvordan du aktiverer sikre tilkoblinger per standard Hva er HTTPS og hvordan du aktiverer sikre forbindelser Per standard Sikkerhetsproblemer sprer seg langt og har kommet i forkant av mest alles sinn. Vilkår som antivirus eller brannmur er ikke lenger merkelige ordforråd og er ikke bare forstått, men også brukt av ... Les mer; Garmin Connect klarte ikke å gjøre det selv, og etterlot brukerdata passivt utsatt for en potensiell eavesdropper.
På samme måte, selv om Bellabeat Leaf and Withings Health Mate kommuniserer med eksterne servere ved hjelp av HTTPS, sendte begge selskapene enkeltekst e-post til brukere for å bekrefte sin påloggingsinformasjon, slik at brukerne åpnet for man-i-midten-angrep. Enhver angriper med arbeidskunnskap til Bellabeat eller Withings API kan få tilgang til et bredt spekter av personlig treningsinformasjon i løpet av få minutter. Denne typen angrep kan også brukes til å presse ondsinnede eller falske data til den bærbare eller brukerens telefon også.
Data Tampering
Tre av treningsapplikatorene observerte “var sårbare for en motivert bruker som opprettet falsk generert treningsdata for egen brukerkonto,” lure selskapets servere til å akseptere falske data. Open Effect og Citizen Lab opprettet flere applikasjoner designet for å lure treningssporingstjenere til å akseptere falsk informasjon, med Bellabeat LEAF, Jawbone UP og Withings Health Mate som kommer opp kort.
“Vi sendte en forespørsel til Jawbone om at vår testbruker tok ti milliarder trinn på en enkelt dag”
Deres søknad fordeler trinnvis trinnvis i faste intervaller over en ønsket tidsramme, og skaper en kunstig fordeling av trinn. Forskerne konkluderte med en mer sofistikert tilnærming “tilfeldig tildele trinn for å etablere en mer realistisk utseende” for ytterligere flukteteksjon.
Hvorfor er dette et problem?
Fitness trackers kan opprettholde en kontinuerlig strøm av personlig datainnsamling Hvor mye av dine personlige data kan smarte enheter spore? Hvor mye av dine personlige data kan smarte enheter spore? Smart hjemme privatliv og sikkerhet bekymringer er fortsatt like ekte som noen gang. Og selv om vi elsker ideen om smart teknologi, er dette bare en av mange ting å være klar over før du dykker ... Les mer. Vanlige datainnsamlingsvektorer inkluderer fotspor, hjerteslag, søvnmønstre, høyde, geolokasjoner, aktivitetskvalitet og typer aktiviteter.
Noen av treningssporene oppfordrer brukerne til å delta i ekstra trenings- eller sosiale aktiviteter, for eksempel å angi mat for kalorifeltelling og analyse, personlig stemning på bestemte tider av dagen (også i forhold til aktiviteter og matforbruk), for å logge på treningen deres mål 10 Excel-maler for å spore din helse og fitness 10 Excel-maler for å spore din helse og fitness Les mer og spore fremgang over tid Spor viktige områder i livet ditt i 1 minutt med Google Forms Spor viktige områder i livet ditt i 1 minutt med Google Forms Det er utrolig hva du kan lære om deg selv når du tar deg tid til å ta hensyn til dine daglige vaner og atferd. Bruk de allsidige Google-skjemaene for å spore fremdriften din med viktige mål. Les mer, eller konkurrer mot andre treningsentusiaster i gammeldagse sosiale medier-stilte dashboard-miljøer. De beste sosiale treningsapplikasjonene for å trene med venner og familie. De beste sosiale treningsapplikasjonene for å trene med venner og familie. De beste måtene å holde ansvar overfor vennene dine, men du må finne den appen som passer best for deg! Les mer .
Spørsmålene hevet av Open Effect og Citizen Lab illustrere farene ved å stole på treningssporere for å gi pålitelige personopplysninger i en rekke situasjoner. Fitness tracker data har blitt brukt til å sikre forsikringspolicyer, eller representerer fremskritt med medisinske problemer, men vi ser at dataene lett kunne forfalskes.
Videre gjør disse dataproblemene disse karakteristikkene til disse treningsstudentteknologiselskapene tvilsom? Hvordan oversetter disse fattige forsøk på databeskyttelse til sine andre produkter? Problemet er ikke bundet til treningssporere alene, og flere bør gjøres av både borgere og regulatorer for å sikre at brukerdata er beskyttet til enhver tid, slik at vi ikke finner hele næringer undergravd av deres tilsynelatende mangel på omsorg og skjønn med private data.
Hva nå?
Rapportfunnene er klare: økt sikkerhet basert på anbefalingene fra Open Effect og Citizen Lab. Personlig og privat sikkerhet er alvorlig, og vi bør ta opp problemer når de ankommer. Men det er ikke bare forbedret sikkerhet som trengs. Fitness tracker-brukere må forstå hvor dataene sendes til, hvor det er lagret, og hvilke andre parter har tilgang til det.
Det er på teknologiselskapene å kommunisere med brukerne om den fulle dybden av teknisk overvåkning de har innvilget også, om de skjønner det eller ikke, sammen med mulige risikoer.
Er det på tide å kaste treningssporeren din bort? Sannsynligvis ikke, spesielt hvis du har en Apple Watch Ikke Apple Watch: 9 Andre iPhone-Friendly Wearables Ikke Apple Watch: 9 Andre iPhone-Friendly Wearables Kunngjøringen av Apple Watch var store nyheter, men det er langt fra den eneste bærbare enheten designet for å bli brukt med en iPhone. Les mer . Til tross for blandede reaksjoner mot funnene i den tekniske rapporten fra treningssporingstillatørene, er det lite sannsynlig at disse sårbarhetene vil eksistere for lenge.
Eller, vi kan i det minste håpe at de ikke vil eksistere lenge.
Er du bekymret for din treningssporing? Har du mistet data gjennom brukbar teknologi? Hva skjedde? Gi oss beskjed nedenfor!
Utforsk mer om: Fitness, Online Security, Brukbar teknologi.