A népszerű hordható eszközökön felfedezett biztonsági és adatvédelmi hibák


Itt, a vpnMentor-nál jelentést bíztak meg az egészségügyi és fitneszágazatban található három hordozható anyag biztonságának és magánéletének tesztelésére..

A Digitsole meleg talpbetétek, a Modius fejpánt és az Ivy Health Kids hőmérő voltak mindenki azt találta, hogy személyes információkat gyűjt és tár fel, a felhasználók magánéletének veszélyeztetése. Digitsole és Modius esetén, a hackerek képesek voltak párosítani egy felhasználói eszközzel, és vezérelhetik azt, lehetővé téve számukra, hogy fizikai károkat okozhassanak a használónak.

Az alábbiakban ismertetjük megállapításaink részleteit.

Mi a hordható technika??

Hordható Tech, amely a hordható technológiát jelenti, intelligens eszközök, amelyeket visel. Ezeknek a moduloknak intelligens érzékelői vannak, internetes kapcsolatuk van, és vezeték nélkül csatlakozhatnak a telefonhoz. A népszerű ruhadarabok közé tartoznak az intelligens órák, fitnesz-követők, video szemüvegek és még sok más.

Noha ezek a ruházat sok szempontból hasznos, kapcsolódnak az internethez, ami azt jelenti meg lehet csapkodni.

Hogyan vizsgáltuk meg ezeket az eszközöket

Vetünk egy három viselhető eszközt, amelyek valamilyen módon az egészségre vagy a fitneszre vonatkoznak. Letöltöttük a legújabb verziókat a Google Play Áruházból egy Android 8.0 telefonra valamint elfogott és beolvasott Bluetooth és WiFi forgalmat.

Mindegyik eszközt 5-ből osztályoztuk mind a biztonság, mind a magánélet szempontjából.

A biztonságot azt mérik, hogy a hackerek milyen egyszerűen férhetnek hozzá a felhasználói információkhoz és vezérelhetik az eszközt.

Az adatvédelmet annak alapján mérjük, hogy az alkalmazás milyen adatokat gyűjt a felhasználóitól (engedély nélkül vagy anélkül).

Kutatásunk azt találta mindhárom alkalmazás Bluetooth-on keresztül hitelesítés nélkül kapcsolódik össze, összegyűjti a hely- és a személyes azonosítókat, és felhasználta a Facebookot vagy a Google Analytics szolgáltatást.

Digitoolesole meleg talpbetétek Gyűjti a hely, életkor, magasság, nem, súly, sebesség, elégetett kalóriák, megtett lépések és a Facebook adatait. Végső biztonsági pont: 2/5 Végleges adatvédelmi pontszám: 2/5
Modius fejpánt Gyűjti a hely, az ujjlenyomat, a Facebook adatait és az egyedi mobileszköz-azonosítókat Végső biztonsági pont: 4/5 Végleges adatvédelmi pontszám: 3/5
Ivy Health Kids Gyűjti a hely, a kamera, a gyermek és a szülő személyes adatait, a hőmérsékleti méréseket, a Google Analytics szolgáltatást és az egyedi mobileszköz-azonosítókat. Végső biztonsági pont: 2/5 Végleges adatvédelmi pontszám: 2/5

A népszerű hordható eszközökön felfedezett biztonsági és adatvédelmi hibák

A hordható technikai biztonsági rések részletei

Digitoolesole meleg talpbetétek
A népszerű hordható eszközökön felfedezett biztonsági és adatvédelmi hibák

Ezeket a talpbetéteket hideg éghajlatú lelkes futóknak tervezték és tervezték. A talpbetét nemcsak melegíti a lábad, hanem nyomon követik a felhasználók napi fizikai tevékenységeit.

Jelentésünk kimutatta, hogy az alkalmazás személyes információkat fed fel, ideértve a helyszíneket is.

A Digitsole adatvédelmi irányelvei szerint az alkalmazás kevés felhasználói információt gyűjt, és ezek egyikét sem adják el vagy továbbadják harmadik fél számára. Azt is kijelenti, hogy van mód a felhasználó által összegyűjtött adatok törlésére.

azonban, észrevettük, hogy az alkalmazás hozzáfér a tartózkodási helyéhez és a telefon tárhelyéhez. Azt is észrevettük, hogy az alkalmazás adatokat gyűjt a Facebook-profiljáról és barátaidról, a napi lépések számáról, az elégetett kalóriák számáról, a sebességről, a nemről, a tömegről és a magasságról.

Továbbá, az alkalmazás továbbra is hozzáfér a telefon helyéhez mindaddig, amíg a tartózkodási helye be van kapcsolva, és az eszköz a háttérben működik, még akkor is, ha kikapcsolja a követési funkciót.

Ha csatlakozik a Bluetooth-hoz, amelynek nincs hitelesítése, a hackerek könnyen megváltoztathatják a talpbetétek hőmérsékletét, időnként a hőt 45 ° C-ra emelve. Ők képesek összegyűjteni azokat az információkat is, amelyeket a felhasználó tett és nem adott meg.

A felhasználó által közvetlenül a Digitsole-be történő regisztráció során megadott adatok: A felhasználó által közvetlenül nem megadott adatok:
  • Kor
  • Hely egy időbélyegzővel
  • Magasság
  • Facebook profil és barátok
  • Súly
  • Elégetett kalória
  • nem
  • Sebesség
  • A megtett lépések

A regisztrációs adatokat elküldjük a Digitsole szervereinek. A valós idejű adatokat azonban rögzített időközönként, néhány másodpercenként elküldjük a kiszolgálóknak. Az összes adat titkosított csatlakozáson keresztül kerül elküldésre a HTTPS használatával.

A népszerű hordható eszközökön felfedezett biztonsági és adatvédelmi hibák

A Digitsople alkalmazás összegyűjti a Facebook adatokat

Modius fejpánt

A népszerű hordható eszközökön felfedezett biztonsági és adatvédelmi hibák

Megállapítást nyert, hogy ez a hordható súlycsökkentő eszköz sebezhetőséget okoz a felhasználók adataival kapcsolatban.

A Modius fejpánt van célja, hogy megváltoztassa a felhasználó testtömegét és étvágyát azáltal, hogy elektromos jeleket küld az agyba.

Teszteltük a Modius Android alkalmazás 1.6.0 verzióját, és megállapítottuk, hogy az mind a hely, mind az ujjlenyomat-hozzáférést gyűjti.

Ez minden bizonnyal fejlett technológia; mivel azonban csatlakozik a Bluetooth-hoz (amely nincs hitelesítve) a hackerek képesek voltak megismerni a felhasználó testét, ideértve a derékhosszt, a testzsírszázalékot és az ujjlenyomatokat is.

A behatolási hackerek képesek voltak megtudni az egyes felhasználók helyét, és ha fizikailag elég közel álltak, akkor is képes az eszközt irányítani. Ez azt jelenti, hogy képesek lennének indítsa el vagy állítsa le a fejpánt letapogatását, és változtassa meg az elektromos áramot a legmagasabb szintre, ami émelygést és általános betegséget okoz.

Noha ez veszélyes, nem találtunk kitettséget a felhasználói adatokkal szemben.

Ugyanakkor a következőket tudtuk követni:

  • Elhelyezkedés
  • Ujjlenyomat
  • Facebook követés
  • Súly
  • Magasság
  • Derékbőség
  • A testzsír százaléka
  • A Modius eszközhasználati előzményei
  • Személyes adatok, születési idő, név és e-mail cím.

A népszerű hordható eszközökön felfedezett biztonsági és adatvédelmi hibák

A Modius alkalmazás egyaránt integrálódik a Facebook-hoz, és helyhez való hozzáférést igényel. 

Az összes személyes adatot a regisztráció után elküldik a Modius szervereinek, míg a fennmaradó adatokat minden alkalommal, amikor az alkalmazást rendszeres időközönként használják. Azt is láttuk, hogy minden adatot titkosított csatornán küldünk a HTTPS felhasználásával.

Az Ivy Health Kid hőmérője

A népszerű hordható eszközökön felfedezett biztonsági és adatvédelmi hibák

Ez az intelligens és hordozható karos hőmérő csecsemőknek és kisgyermekeknek készült, és Bluetooth-on keresztül csatlakozik egy mozgatható eszköz alkalmazáshoz, amely vezérli. Ez a hasznos eszköz lehetővé teszi ellenőrizze a baba hőmérsékletét bármikor, és jelentését a Bluetooth-on telefonon jeleníti meg telefonjára.

Noha a fizikai károkat nem lehet elkövetni, úgy találtuk, hogy személyes információkat fed fel.

A három tesztelt ruházat közül, az Ivy Health Kids által gyűjtött információk mennyisége a legmagasabb.

Kipróbáltuk az 1.0-s verziót, amely nagyon sok engedélyt igényel, beleértve a külső tárolóeszköz, kamera, hely stb. Olvasási és írási hozzáférését is.

A népszerű hordható eszközökön felfedezett biztonsági és adatvédelmi hibák

Az IvyHealth engedélyek listája

A hackerek hozzáférhetnek a gyermekek nevéhez, születési idejéhez, neméhez és egyebekhez azoktól, akik a készüléket a hőmérséklet ellenőrzésére használják. A támadók információkat találtak az egyes gyermekek családjának kapcsolatáról is. Ez az információ felfedheti az egész család szerkezetét, kapcsolatát és természetesen hőmérsékletét. és hőmérsékleti mérési előzményeik.

Talán a leginkább a tény, hogy az alkalmazás API-ját és portálját a nem biztonságos HTTP-n keresztül kell kiszolgálni. Ez a sérülékenység veszélyezteti a felhasználó felhasználónevét és jelszavát.

Ezekkel a sérülékenységekkel nem csoda, hogy a hordható termékek biztonsága továbbra is megkérdőjelezhető, és még az egyszerű eszközök is veszélybe kerülhetnek. Németország tavaly betiltotta a gyerekek számára az intelligens órák használatát, néhány évvel ezelőtt Kína betiltotta az intelligens órák használatát a hadseregben.

A hordható termékek körüli fokozott kockázat azonban nem állítja meg növekedését. A teljes ruházat-piac várhatóan a 2017. évi 113,2 millió szállítmányról 202-re 222,3 millióra növekszik, az összetett éves növekedési ráta (CAGR) 18,4% lesz., az International Data Corporation (IDC) szerint az egész világon negyedévente hordható eszközkövető.

Itt az ideje, hogy újragondoljuk a biztonsággal és a magánélettel kapcsolatos megközelítésünket, amikor a ruhákról van szó?

Ide kattintva megtekintheti a teljes jelentést, amely az egyes eszközök adatvédelmi és biztonsági rangsorolására vonatkozó további részleteket tartalmaz.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me