Будинки Відгуки Стережись! ваш фітнес-трекер міг просочити інформацію про ваше здоров'я

Стережись! ваш фітнес-трекер міг просочити інформацію про ваше здоров'я

Відео: 4 Unicode and N character in SQL Server (Листопад 2024)

Відео: 4 Unicode and N character in SQL Server (Листопад 2024)
Anonim

Коли ви досягнете 10000 кроків або досягнете іншої мети фітнес-трекера, ви хочете поділитися своїм досягненням з друзями, правда? Залежно від того, яким пристроєм ви користуєтесь, ви також можете ділитися своєю приватною інформацією зі світом або з усіма поруч. Дослідники з AV-Test Institute проаналізували безпеку дев'яти популярних фітнес-трекерів, і деякі їх висновки виявилися не дуже гарними.

Коротше кажучи, Fitbit Charge та Acer Liquid Leap взагалі не забезпечують з'єднання Bluetooth. Це означає, що ваші дані підлягають переміщенню. Jawbone Up24 та Sony Smartband Talk SWR30 зробили найкращу роботу щодо захисту даних користувачів.

Звичайно, було протестовано лише один предмет у товарній лінійці кожної компанії, але розсудливість диктує, якщо ці результати застосовуються в усьому світі. Тільки тому, що у вас є Fitbit Surge, а не Fitbit Charge, не означає, що ви в безпеці.

Кого турбує?

Але зачекайте, ви можете сказати, мені байдуже, хто бачить мої дані; Я пишаюся своєю придатністю! У доповіді зазначається досить багато причин такого ставлення може бути наївним. Наприклад, деякі медичні страховики пропонують нижчі тарифи для клієнтів, які доводять свою придатність за допомогою трекера. Недобросовісний користувач може захопити більш придатні дані сусіда, щоб отримати нижчу ставку, або вкрасти дані та затримати їх для викупу.

Якщо дані пристрою не захищені, вони можуть бути змінені зовні. "Невдовзі діти будуть грати на розбіжному юпі, збільшуючи дані про кров'яний тиск та пульс на кілька висівок", - зазначає звіт. Дійсно, у звіті детально описується, як легко дослідникам вдалося перейняти один конкретний пристрій.

Промисловість Bluetooth

Усі перевірені трекери використовують Bluetooth для з'єднання з додатком Android. При правильній реалізації Bluetooth з'єднання може бути досить безпечним. Sony Smartband Talk SWR30, Polar Loop та Withings Pulse Ox стають непомітними для інших пристроїв, що з'єднуються разом із вашим телефоном. Для спарювання Garmin Vivosmart та Huawei TalkBand B1 потрібна автентифікація. Jawbone Up24 та LG Lifeband Touch FB84 йдуть далі, вимагаючи фізичного доступу до пристрою для створення пари.

Решта два, Acer Liquid Leap та Fitbit Charge, взагалі не забезпечують з'єднання BlueTooth. Зокрема, Fitbit Charge поєднується з будь-яким пристроєм Bluetooth, який знаходиться в діапазоні, а дані простого тексту взагалі не захищені. Продукти Jawbone та Huawei не так широко відкриті, але вони поєднуються з більш ніж одним пристроєм. Що стосується Acer Liquid Leap, то, схоже, потрібна автентифікація за допомогою PIN-коду, але код статично походить від загальнодоступного імені пристрою.

Захист додатка

Програми Android відрізняються від компільованих виконуваних програм, які працюють під Windows. Будь-хто може декомпілювати програму Android назад до її вихідного коду, використовуючи легко доступні інструменти. Хакер може використовувати цей вихідний код, щоб визначити, як програма фітнесу спілкується зі своїм відповідним трекером, і написати підроблений додаток, щоб перейняти це спілкування.

Розумні програмісти Android використовують інструменти та методи для придушення коду програми, що ускладнює реверсивну інженерію. Вони також вимикають функції реєстрації, які корисні під час створення програми, але надають внутрішні деталі додатків. І звичайно, вони складають остаточну версію з вимкненою налагодженням.

Лише два з тестованих продуктів, Jawbone Up24 та Sony Smartband Talk SWR30, використовували всі ці три методи. Huawei і Withings випустили код налагодження з увімкнутим журналом і застосували лише обмежене обфускування. Acer та LG Lifeband не робили спроб зірвати реверсивну інженерію.

Дослідники AV-Test легко створили підроблений додаток, який міг висмоктувати дані з пристрою Acer. Їм навіть вдалося змінити внутрішні записи пристрою, так що "тренування дня було завершено всього за кілька секунд, не порушуючи поту".

Погані новини, хороші новини

Якщо ви вкоренили свій телефон, ви набагато більш вразливі до всіх видів злому, включаючи злом фітнес-трекера. Хороша новина полягає в тому, що всі перевірені пристрої правильно зберігають свої дані в захищеній пам'яті. Погана новина полягає в тому, що якщо ви вкоренили свій телефон, ця пам'ять більше не захищена.

Ще хороша новина - усі тестовані програми правильно захищали свої дані під час переходу до хмари. Вони зашифрували дані та передали їх за допомогою HTTPS.

  • Найкращі фітнес-трекери на 2019 рік Найкращі фітнес-трекери на 2019 рік
  • Кістка кістки UP24 Кістка кістки UP24
  • Зимовий імпульс О2 Зінгенс Імпульс О2
  • Sony SmartBand SWR10 Sony SmartBand SWR10

Переможці та переможені

Повний звіт детально описує те, що саме дізналися дослідники, і він показує, що наявна безпека в цій галузі товару дуже варіюється. Зручний графік визначає 11 важливих моментів для безпеки фітнес-трекера. Нагорі Sony Smartband Talk SWR30 пропустив лише один - ви не можете відключити Bluetooth від трекера. Polar Loop пропустив ту саму точку, а також не зробив усе можливе проти реверсивної інженерії, але це все ще досить добре.

На іншому кінці спектру Acer Liquid Leap пропустив дев'ять із 11 балів. Він отримав кредит для зберігання даних у захищеній пам'яті та частковий кредит для захисту внутрішньої комунікації; це все. Fitbit Charge пропустив вісім елементів захисту, включаючи всі, що стосуються захисту зв'язку Bluetooth.

Команда AV-Test офіційно повідомила всіх постачальників про свої висновки. Вони планують подальше розслідування, як тільки продавці встигнуть активізувати свою безпеку.

Стережись! ваш фітнес-трекер міг просочити інформацію про ваше здоров'я