Drošības un privātuma trūkumi, kas atklāti populārās valkājamajās ierīcēs


Šeit vietnē vpnMentor mēs pasūtījām ziņojumu, lai pārbaudītu trīs valkājamo materiālu drošību un privātumu veselības un fitnesa nozarē.

Digitsole siltas zolītes, Modius Headband un Ivy Health Kids termometrs bija visi atklāj, ka vāc un atklāj personisko informāciju, pakļaujot riskam savu lietotāju privātumu. Digitsole un Modius gadījumā, hakeri varēja izveidot savienojumu pārī ar lietotāja ierīci un to vadīt, ļaujot viņiem nodarīt fizisku kaitējumu personai, kas to izmanto.

Tālāk ir aprakstīta informācija par mūsu atradumiem.

Kas ir valkājamā tehnika?

Valkājams Tech, kas apzīmē valkājamu tehnoloģiju, ir viedie sīkrīki, kurus valkājat. Šiem sīkrīkiem ir viedie sensori, tīmekļa savienojums, un tie var bezvadu savienojumu izveidot ar tālruni. Pie populāriem valkājamiem pieder viedpulksteņi, fitnesa izsekotāji, video brilles un daudz kas cits.

Kaut arī šie valkājamie materiāli ir noderīgi daudzos veidos, tie savienojumu ar internetu veido, kas nozīmē viņus var uzlauzt.

Kā mēs pārbaudījām šīs ierīces

Mēs apskatījām trīs valkājamas ierīces, kas kaut kādā veidā attiecas uz veselību vai fizisko sagatavotību. No Google Play veikala mēs lejupielādējām jaunākās versijas tālrunī Android 8.0 pārtverto un skenēto Bluetooth un WiFi trafiku.

Mēs vērtējām katru ierīci no 5 gan drošības, gan privātuma jomā.

Drošību mēra pēc tā, cik viegli hakeris var piekļūt lietotāja informācijai un kontrolēt ierīci.

Privātumu mēra pēc tā, kādus datus lietotne apkopo no lietotājiem (ar atļauju vai bez tās).

Mūsu pētījumos tika atklāts visas trīs šīs lietotnes savienojas, izmantojot Bluetooth, bez jebkādas autentifikācijas, savāc atrašanās vietas un personiskos identifikatorus un izmanto Facebook un Google Analytics.

Digitsole siltās zolītes Apkopo atrašanās vietu, vecumu, augstumu, dzimumu, svaru, ātrumu, sadedzinātās kalorijas, veiktos pasākumus un Facebook informāciju. Galīgais drošības rezultāts: 2/5 Galīgais privātuma rezultāts: 2/5
Modius galvassega Apkopo atrašanās vietu, pirkstu nospiedumus, Facebook informāciju un unikālus mobilās ierīces identifikatorus Galīgais drošības rādītājs: 4/5 Galīgais privātuma rezultāts: 3/5
Ivy Health Kids Apkopo atrašanās vietas, kameras, bērna un vecāku personisko informāciju, temperatūras mērījumus, Google Analytics un unikālus mobilās ierīces identifikatorus. Galīgais drošības rezultāts: 2/5 Galīgais privātuma rezultāts: 2/5

Drošības un privātuma trūkumi, kas atklāti populārās valkājamajās ierīcēs

Sīkāka informācija par valkājamām tehnikas ievainojamībām

Digitsole siltās zolītes
Drošības un privātuma trūkumi, kas atklāti populārās valkājamajās ierīcēs

Šīs zolītes ir paredzētas un paredzētas dedzīgiem skrējējiem aukstā klimatā. Zolītes ne tikai sasilda jūsu kājas, bet viņi izseko lietotāju ikdienas fiziskās aktivitātes.

Mūsu ziņojums parādīja, ka lietotne atklāj personisku informāciju, ieskaitot atrašanās vietas.

Saskaņā ar Digitsole konfidencialitātes politiku lietotne apkopo maz informācijas par lietotājiem, un neviena no tām netiek pārdota vai pārsūtīta trešajām personām. Tajā arī teikts, ka ir veids, kā izdzēst visus un visus lietotāju apkopotos datus.

Tomēr, mēs pamanījām, ka lietotne piekļūst jūsu atrašanās vietai un tālruņu krātuvei. Mēs arī pamanījām, ka lietotne apkopo datus par jūsu Facebook profilu un draugiem, dienā veikto darbību skaitu, sadedzināto kaloriju daudzumu, ātrumu, dzimumu, svaru un augumu.

Papildus, lietotne turpina piekļūt jūsu tālruņa atrašanās vietai ja vien jūsu atrašanās vieta ir ieslēgta un ierīce darbojas fonā, pat ja izslēdzat izsekošanas funkciju.

Izveidojot savienojumu ar Bluetooth, kam nav autentifikācijas, hakeri var viegli mainīt zolīšu temperatūru, dažreiz siltumu paaugstina līdz 45 ° C (113 ° F). Viņi arī spēj savākt informāciju, kuru lietotājs izdarīja un nesniedza.

Dati, ko lietotājs tieši sniedz, reģistrējoties Digitsole: Dati, kurus tieši nesniedz lietotājs:
  • Vecums
  • Atrašanās vieta ar laika zīmogu
  • Augstums
  • Facebook profils un draugi
  • Svars
  • Sadedzinātas kalorijas
  • Dzimums
  • Ātrums
  • Veiktie soļi

Reģistrēšanās dati tiek nosūtīti uz Digitsole serveriem. Reālā laika dati tomēr tiek nosūtīti uz serveriem ar noteiktu intervālu ik pēc dažām sekundēm. Visi dati tiek nosūtīti, izmantojot šifrētu savienotu, izmantojot HTTPS.

Drošības un privātuma trūkumi, kas atklāti populārās valkājamajās ierīcēs

Lietotne Digitsople apkopo Facebook datus

Modius galvassega

Drošības un privātuma trūkumi, kas atklāti populārās valkājamajās ierīcēs

Tika konstatēts, ka šai valkājamajai svara zaudēšanas ierīcei ir ievainojamība attiecībā uz lietotāju informāciju.

Modius galvassega ir kas paredzēts lietotāja ķermeņa svara un apetītes izmaiņām, nosūtot smadzenēm elektriskus signālus.

Mēs pārbaudījām Modius Android lietotnes 1.6.0 versiju un secinājām, ka tā apkopo piekļuvi gan atrašanās vietai, gan pirkstu nospiedumiem.

Tā noteikti ir progresīva tehnoloģija; tomēr, tā kā savienojums ar Bluetooth (kas nav autentificēts) hakeri varēja iegūt informāciju par lietotāja ķermeni, ieskaitot vidukļa garumu, ķermeņa tauku procentu un pat pirkstu nospiedumus.

Iespiešanās hakeri arī varēja uzzināt katra lietotāja atrašanās vietu un, kad bija fiziski pietiekami tuvu, atradās spēj kontrolēt ierīci. Tas nozīmē, ka viņi varēja Sāciet vai pārtrauciet galvas lentes skenēšanu un mainiet elektrisko strāvu līdz visaugstākajam līmenim, kas izraisa nelabumu un vispārēju slimību.

Lai gan tas ir bīstami, mēs nekonstatējām privātu lietotāju informāciju.

Tomēr mēs varējām izsekot šādiem jautājumiem:

  • Atrašanās vieta
  • Pirkstu nospiedums
  • Facebook izsekošana
  • Svars
  • Augstums
  • Vidukļa garums
  • Ķermeņa tauku procentuālā attiecība
  • Modius ierīces lietošanas vēsture
  • Personas dati, dzimšanas datums, vārds un e-pasta adrese.

Drošības un privātuma trūkumi, kas atklāti populārās valkājamajās ierīcēs

Modius lietotne tiek integrēta gan Facebook, gan tai ir nepieciešama piekļuve vietnei. 

Visi personīgie dati pēc reģistrācijas tiek nosūtīti uz Modius serveriem, savukārt visi atlikušie dati tiek nosūtīti ikreiz, kad lietojumprogramma tiek lietota regulāri. Mēs arī redzējām, ka visi dati tiek nosūtīti pa šifrētu kanālu, izmantojot HTTPS.

Ivy Health Kid’s termometrs

Drošības un privātuma trūkumi, kas atklāti populārās valkājamajās ierīcēs

Šis viedais un portatīvais rokas termometrs ir paredzēts zīdaiņiem un maziem bērniem, un tas, izmantojot Bluetooth, ir savienots ar mobilās ierīces lietotni, kas to kontrolē. Šī noderīgā ierīce ļauj jums uzraugiet mazuļa temperatūru visu laiku un ziņo par atradumu tālrunim, izmantojot Bluetooth.

Lai gan fiziskus zaudējumus nevar izdarīt, mēs atklājām, ka tas pakļauj personisko informāciju.

No trim pārbaudītajiem valkājamiem izstrādājumiem, Ivy Health Kids apkopotās informācijas daudzums bija visaugstākais.

Mēs pārbaudījām versiju 1.0, kurai ir vajadzīgas daudz atļauju, ieskaitot lasīšanas un rakstīšanas piekļuvi ārējai atmiņai, kamerai, atrašanās vietai un citam.

Drošības un privātuma trūkumi, kas atklāti populārās valkājamajās ierīcēs

IvyHealth atļauju saraksts

Hakeri varēja piekļūt bērnu vārdiem, dzimšanas datumam, dzimumam un citam no tiem, kas izmantoja ierīci temperatūras uzraudzībai. Uzbrucēji atrada informāciju arī par katra bērna ģimenes attiecībām. Šī informācija potenciāli var atklāt visas ģimenes struktūru, attiecības un, protams, viņu temperatūru. un to temperatūras mērījumu vēsture.

Iespējams, visvairāk uztrauc fakts, ka lietotnes API un portāls tiek piegādāts, izmantojot nedrošu HTTP. Šī ievainojamība rada risku lietotāja lietotājvārdam un parolei.

Izmantojot šīs ievainojamības, nav brīnums, ka valkājamo drošība joprojām ir apšaubāma, un pat vienkāršas ierīces var tikt apdraudētas. Vācija pagājušajā gadā aizliedza bērniem viedpulksteņus, un Ķīna pirms dažiem gadiem aizliedza viedpulksteņu izmantošanu armijā.

Bet paaugstinātais valkājamo izstrādājumu risks neaptur tā pieaugumu. Paredzams, ka kopējais valkājamo izstrādājumu tirgus pieaugs no 113,2 miljoniem sūtījumu 2017. gadā līdz 222,3 miljoniem 2021. gadā ar salikto gada pieauguma līmeni (CAGR) 18,4%., saskaņā ar Starptautiskās datu korporācijas (IDC) Vispasaules ceturkšņa valkājamo ierīču izsekotāju.

Ir pienācis laiks pārdomāt mūsu pieeju drošībai un privātumam, kad runa ir par valkājamiem izstrādājumiem?

Noklikšķiniet šeit, lai skatītu pilnu ziņojumu, kurā ietverta sīkāka informācija par katras ierīces konfidencialitātes un drošības klasifikāciju.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me