Na priljubljenih nosljivih napravah so odkrite pomanjkljivosti varnosti in zasebnosti


Tu smo na vpnMentor naročili poročilo, s katerim smo preizkusili varnost in zasebnost treh nosljivih predmetov v zdravstvenem in fitnes sektorju.

Tople vložke Digitsole, Modius naglavni trak in Ivy Health Kids termometer so bili vse je bilo ugotovljeno, da zbirajo in izpostavljajo osebne podatke, ogroža zasebnost svojih uporabnikov. V primeru Digitsole in Modius, hekerji so lahko seznanili z uporabniško napravo in jo nadzirali, ki jim omogočajo telesno škodo osebi, ki jo uporablja.

Podrobnosti naših ugotovitev opisujemo spodaj.

Kaj je nosljiva tehnologija?

Nosljiva Tech, kar pomeni nosilno tehnologijo, so pametni pripomočki, ki jih nosite. Ti pripomočki imajo pametne senzorje, spletno povezavo in se lahko brezžično povežejo s telefonom. Med priljubljene nosilne izdelke spadajo pametne ure, fitnes sledilniki, video očala in še več.

Medtem ko so ti nosilni elementi uporabni na več načinov, se povezujejo na internet, kar pomeni jih lahko prekinejo.

Kako smo opazili te naprave

Ogledali smo si tri nosljive naprave, ki se na nek način nanašajo na zdravje ali kondicijo. Najnovejše različice smo prenesli iz trgovine Google Play na telefon Android 8.0 ter prestrezan in skeniran promet Bluetooth in WiFi.

Vsako napravo smo razvrstili med 5 po varnosti in zasebnosti.

Varnost se meri s tem, kako preprost heker lahko dostopa do uporabniških informacij in nadzoruje napravo.

Zasebnost se meri s podatki, ki jih aplikacija zbira od svojih uporabnikov (z dovoljenjem ali brez njega).

Naša raziskava je to ugotovila vse tri aplikacije se povežejo prek Bluetooth brez kakršne koli overitve, zbirajo lokacijo in osebne identifikatorje ter uporabljajo Facebook ali Google Analytics.

Tople podplate Digitsole Zbira lokacijo, starost, višino, spol, težo, hitrost, porabljene kalorije, korake in podatke na Facebooku. Končni varnostni rezultat: 2/5 Končna ocena zasebnosti: 2/5
Modius trak za glavo Zbira lokacijo, prstni odtis, podatke o Facebooku in edinstvene identifikatorje mobilnih naprav Končni varnostni rezultat: 4/5 Končna ocena zasebnosti: 3/5
Ivy Health Kids Zbira osebne podatke o lokaciji, kameri, otroku in starših, meritvah temperature, Google Analytics in edinstvenih identifikatorjih mobilnih naprav. Končni varnostni rezultat: 2/5 Končna ocena zasebnosti: 2/5

Na priljubljenih nosljivih napravah so odkrite pomanjkljivosti varnosti in zasebnosti

Podrobnosti o nosljivih tehničnih ranljivostih

Tople podplate Digitsole
Na priljubljenih nosljivih napravah so odkrite pomanjkljivosti varnosti in zasebnosti

Ti vložki so zasnovani in zasnovani za navdušene tekače v hladnem podnebju. Podplati ne ogrevajo samo nog, ampak tudi spremljajo vsakodnevne fizične aktivnosti uporabnikov.

Naše poročilo je pokazalo, da aplikacija izpostavlja osebne podatke, vključno z lokacijami.

V skladu s politiko zasebnosti Digitsole aplikacija ne zbira malo informacij o uporabnikih in je nobena ne prodaja ali posreduje tretjim osebam. Prav tako navaja, da je mogoče izbrisati vse podatke, ki jih zbere uporabnik.

Vendar pa, opazili smo, da aplikacija dostopa do vaše lokacije in prostora za shranjevanje telefona. Opazili smo tudi, da aplikacija zbira podatke o vašem Facebook profilu in prijateljih, število korakov na dan, koliko kalorij gorijo, vašo hitrost, spol, težo in višino.

Poleg tega, aplikacija še naprej dostopa do lokacije vašega telefona dokler je vaša lokacija vklopljena in naprava deluje v ozadju, tudi če izklopite funkcijo sledenja.

S povezavo na Bluetooth, ki nima avtentikacije, hekerji zlahka spremenijo temperaturo podplatov, včasih dvigne toploto na 45 ° C. Prav tako lahko zbirajo podatke, ki jih je uporabnik storil in jih niso dali.

Podatki, ki jih je uporabnik neposredno navedel ob prijavi na Digitsole: Podatki, ki jih uporabnik ni neposredno navedel:
  • Starost
  • Lokacija s časovnim žigom
  • Višina
  • Facebook profil in prijatelji
  • Utež
  • Kalorije so gorele
  • Spol
  • Hitrost
  • Sprejeti ukrepi

Podatki o registraciji se pošljejo na strežnike Digitsole. Podatki v realnem času pa se pošljejo strežnikom v določenem intervalu vsakih nekaj sekund. Vsi podatki se pošljejo preko šifrirane povezave z uporabo HTTPS.

Na priljubljenih nosljivih napravah so odkrite pomanjkljivosti varnosti in zasebnosti

Aplikacija Digitsople zbira podatke iz Facebooka

Modius trak za glavo

Na priljubljenih nosljivih napravah so odkrite pomanjkljivosti varnosti in zasebnosti

Ugotovljeno je bilo, da ima ta nosilna naprava za hujšanje ranljivosti glede informacij o uporabnikih.

Trak za glavo Modius je zasnovan za spreminjanje telesne teže in apetita uporabnika s pošiljanjem električnih signalov v možgane.

Preizkusili smo različico 1.6.0 Modiusove aplikacije za Android in ugotovili, da zbira tako lokacijo kot dostop do prstnih odtisov.

Gotovo je napredna tehnologija; vendar, ker se poveže s povezavo Bluetooth (ki ni overjena) hekerji so lahko pridobili podrobnosti o uporabnikovem telesu, vključno z dolžino pasu, odstotkom telesne maščobe in celo prstnimi odtisi.

Hekerji za prodor so lahko ugotovili tudi lokacijo vsakega uporabnika in, ko je fizično dovolj blizu zmožen nadzor naprave. To pomeni, da bi lahko zaženite ali ustavite pregled glave in spremenite električni tok na najvišjo raven, kar povzroča slabost in splošno slabost.

Čeprav je to nevarno, nismo zasledili nobenih informacij o zasebnih uporabnikih.

Vendar smo lahko spremljali naslednje:

  • Lokacija
  • Prstni odtis
  • Sledenje Facebooku
  • Utež
  • Višina
  • Dolžina pasu
  • Odstotek telesne maščobe
  • Zgodovina uporabe naprave Modius
  • Osebni podatki, datum rojstva, ime in e-poštni naslov.

Na priljubljenih nosljivih napravah so odkrite pomanjkljivosti varnosti in zasebnosti

Modiusova aplikacija se integrira s Facebookom in zahteva dostop do lokacije. 

Vsi osebni podatki se po registraciji pošljejo na Modiusove strežnike, vsi preostali podatki pa se pošljejo vsakič, ko se aplikacija uporablja v rednih intervalih. Videli smo tudi, da se vsi podatki pošiljajo preko šifriranega kanala, ki uporablja HTTPS.

Otroški termometer Ivy Health Kid

Na priljubljenih nosljivih napravah so odkrite pomanjkljivosti varnosti in zasebnosti

Ta pametni in prenosni ročni termometer je namenjen dojenčkom in majhnim otrokom in se prek Bluetooth poveže z aplikacijo za mobilne naprave, ki ga nadzira. Ta uporabna naprava vam omogoča, da to storite spremljajte temperaturo vašega dojenčka ves čas in o svojem iskanju poroča v telefonu prek Bluetooth.

Čeprav fizične škode ni mogoče storiti, smo ugotovili, da izpostavlja osebne podatke.

Od treh preizkušenih nosilnih nosilcev, količina informacij, ki jih je zbral Ivy Health Kids, je bila najvišja.

Preizkusili smo različico 1.0, ki zahteva veliko dovoljenj, vključno z branjem in pisanjem dostopa do zunanjega pomnilnika, kamere, lokacije in še več.

Na priljubljenih nosljivih napravah so odkrite pomanjkljivosti varnosti in zasebnosti

Seznam dovoljenj družbe IvyHealth

Hekerji so lahko dostopali do otrokovih imen, datuma rojstva, spola in drugih od tistih, ki so napravo uporabljali za spremljanje temperature. Napadalci so našli tudi informacije o odnosu družine vsakega otroka. Te informacije lahko izpostavijo strukturo, odnos in seveda temperaturo celotne družine. in njihovo zgodovino merjenja temperature.

Morda je najbolj zaskrbljujoče dejstvo, da se API-ji in portal aplikacije poslužujejo prek nevarnih HTTP. Zaradi te ranljivosti uporabniško ime in geslo uporabnika ogrožata.

S temi ranljivostmi ni čudno, da je varnost nošenja še vedno vprašljiva in celo preproste naprave so lahko ogrožene. Nemčija je lani otroke prepovedala pametne ure, Kitajska pa je pred nekaj leti prepovedala uporabo pametnih ur v vojski.

Toda povečano tveganje, povezano z nosilnimi sredstvi, ne ustavi njegovega naraščanja. Pričakuje se, da se bo skupni trg obrabnih izdelkov povečal s 113,2 milijona pošiljk v letu 2017 na 222,3 milijona leta 2021 s skupno letno stopnjo rasti (CAGR) 18,4%, v skladu s svetovno četrtletno sledljivo napravo za sledenje mednarodni podatkovni korporaciji (IDC).

Zdaj je čas, da premislimo o svojem pristopu k varnosti in zasebnosti, ko gre za nosljive izdelke?

Kliknite tukaj, če si želite ogledati celotno poročilo, ki vsebuje več podrobnosti o uvrstitvah zasebnosti in varnosti vsake naprave.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me