¿Es el seguimiento de la aptitud poniendo en riesgo tu seguridad?
Teniendo en cuenta dónde nuestros datos va a gotear de es una tarea difícil. Tomamos las precauciones necesarias a través de nuestros dispositivos, instalar un software antivirus, ejecutar análisis de malware, y es de esperar doble y correos electrónicos para nada sospechoso de triple comprobación. Estos son sólo algunos de los posibles vectores de ataque que nos esperan.
Los investigadores de seguridad han puesto de manifiesto que, aparte de nuestros dispositivos “normales”, una de las nuevas formas de tecnología podría ser proporcionar atacantes con un ángulo inesperado pero de fácil acceso para robar nuestros datos personales. rastreadores de fitness recientemente han estado bajo los reflectores de seguridad después de un informe técnico puso de relieve una serie de fallos de seguridad graves en sus diseños, lo que permite teóricamente posibles atacantes interceptar sus datos personales.
Los defectos fatales aptitud
rastreadores de la aptitud han visto un aumento sin precedentes en popularidad a lo largo de los últimos años. El cuarto trimestre de 2015 solo se registró un aumento masivo de 197% en las ventas de año en año, de 7,1 millones a 21 millones de unidades. Los analistas del mercado Parks Associates Estimamos que el mercado mundial de seguimiento de la aptitud seguirá creciendo, pasando de $ 2 mil millones en 2014 a $ 5.4 mil millones en 2019. Estos son logros significativos, indicando el número de usuarios potencialmente exponerse a este tipo de ataque hasta entonces desconocido.17 Mejores Gadgets salud y condición física para mejorar tu cuerpo17 Mejores Gadgets salud y condición física para mejorar tu cuerpoEn los últimos años, la innovación en torno a aparatos de salud y fitness se ha disparado. Éstas son sólo algunas de las sorprendentes piezas de kit podrás utilizar para que se sienta bien.Lee mas
Vídeo: Charla de seguridad
organización de investigación canadiense sin fines de lucro Efecto abierto, y el laboratorio de investigación interdisciplinaria Citizen Lab, examinado ocho de los dispositivos portátiles de fitness más populares disponibles actualmente: el reloj de Apple, el pico base, el Fitbit carga de recursos humanos, el Garmin Vivosmart, la mandíbula UP 2, el Mio fusible, el Withings pulso de O2, y el Mi Banda Xiaomi.
El informe de investigación combinada buscó descubrir los pasos de las empresas de tecnología están tomando para proteger y mantener la seguridad de sus datos. Si bien sabemos y entendemos rastreadores de fitness recogerán los latidos del corazón, pasos, calorías y datos sobre el sueño, los investigadores exploraron lo que sucede a esos datos cuando está en manos de los desarrolladores de dispositivos.
¿Qué datos se envían a un servidor remoto? ¿Cómo las empresas de tecnología de seguridad de los datos? ¿Quién es compartida con? ¿Cómo las empresas realmente hacen uso de la información?
Las principales conclusiones fueron:
- Siete de los ocho dispositivos de seguimiento de la aptitud emiten los identificadores únicos persistentes (dirección de control de acceso al medio de Bluetooth) que pueden exponer a sus portadores de seguimiento a largo plazo de su ubicación cuando el dispositivo no está emparejado y conectado a un dispositivo móvil.
- aplicaciones de la quijada y Withings pueden ser explotadas para crear registros de la banda de fitness falsos. Tales registros falsos ponen en duda la fiabilidad de los datos que el uso de la aptitud de seguimiento en los casos judiciales y los programas de seguro.
- Las aplicaciones de Garmin Connect (iPhone y Android) y la aplicación Withings Health Mate (Android) tienen vulnerabilidades de seguridad que permiten a un tercero no autorizado a leer, escribir y borrar datos de usuario.
- Garmin Connect no emplea prácticas básicas de seguridad de transmisión de datos para sus aplicaciones Android o iOS y en consecuencia expone información de la aptitud para la vigilancia o la manipulación.
Persistentes identificadores únicos
tecnología portátil emite una señal Bluetooth persistente. Ya sea SmartWatch o rastreador de ejercicios, esta señal se utiliza para comunicarse constantemente con el teléfono inteligente. Su comunicación con el dispositivo externo es mantenido usando un (Media Access Control) Dirección MAC, identificar de manera única el rastreador de fitness.¿Qué es una dirección MAC & Se puede utilizar para asegurar su red doméstica? [Explica MakeUseOf]¿Qué es una dirección MAC & Se puede utilizar para asegurar su red doméstica? [Explica MakeUseOf]la estructura y la gestión de la red tienen su propia jerga. Algunos de los términos lanzados alrededor es probable que ya suena familiar. Ethernet y Wi-Fi, ambos conceptos en gran medida auto-evidente, aunque puede requerir un poco ...Lee mas
En el contexto de los seguidores de fitness, mantenimiento de la seguridad de los datos personales exige estas direcciones de forma aleatoria para garantizar que el usuario no puede ser perseguidor e identificado por la dirección MAC. balizas Bluetooth, que se utiliza con mayor frecuencia en los centros comerciales para crear publicidad móvil dirigida, puede realizar un seguimiento y el perfil de los dispositivos con una sola dirección MAC (que también puede ser construido por cualquier persona con un ordenador adecuado, compacto). De hecho, de los dispositivos probados sólo el reloj de Apple aleatorizado su dirección MAC “en un intervalo de aproximadamente 10 minutos” para proteger la identidad de sus usuarios.Construir un IBeacon bricolaje con un Frambuesa PiConstruir un IBeacon bricolaje con un Frambuesa PiLos anuncios destinados a un usuario caminar particular a través de un centro metropolitano son la materia de los futuros distópicas. Pero eso no es un futuro distópico en absoluto: la tecnología ya está aquí.Lee mas
Con la persistencia de la dirección MAC registrada, la ubicación del usuario factible podría ser rastreado a partir de baliza a baliza. Si un centro comercial decide recopilar información sobre la ubicación del usuario durante su visita de compras, los datos podrían ser vendidos a una agencia de marketing, y cualquier otro intermediario de datos, sin notificar primero al usuario. Si un solo corredor de datos puede comprar varios perfiles, la información puede ser cotejada para construir sofisticados perfiles publicidad dirigida, activa cada vez que el usuario (y su identificador de dispositivo único) entra en el edificio.
Las aplicaciones son tan malos
Cada seguidor de la aptitud viene con su propia aplicación de monitoreo, la captura de la gran cantidad de datos relacionados con el fitness y traducirla en una bonita representación visual de las acciones de los usuarios. Sin embargo, las aplicaciones ellos mismos se han encontrado para filtrar información personal, en varios lugares de transmisión.
Por ejemplo, cabría esperar que cualquier transmisión de datos personales a ser cifrado usando HTTPS al menos- el Garmin Connect no pudo hacer ni eso, dejando a los datos del usuario de forma pasiva expuestos a un intruso potencial.¿Qué es HTTPS & Cómo habilitar conexiones seguras de forma predeterminada¿Qué es HTTPS & Cómo habilitar conexiones seguras de forma predeterminadaLos problemas de seguridad se están extendiendo a lo largo y ancho y han llegado a la vanguardia de la mente de casi todo el mundo. Términos como antivirus o cortafuegos ya no extraña vocabulario y no sólo se entienden, sino que también utilizan ...Lee mas
Del mismo modo, aunque la hoja Bellabeat y Pareja Withings Salud comunican con los servidores remotos a través de HTTPS, ambas compañías envían mensajes de correo electrónico de texto sin formato a los usuarios confirmar sus credenciales de inicio de sesión, dejando a los usuarios abierta a ataques man-in-the-middle. Cualquier atacante con un conocimiento práctico de la API Bellabeat o Withings podría acceder a una amplia gama de información personal de fitness en cuestión de minutos. Esta forma de ataque también podría ser utilizado para enviar datos falsos o maliciosos a la portátil o teléfono del usuario, también.
La manipulación de datos
Tres de las aplicaciones de seguimiento de fitness observados “eran vulnerables a un usuario motivado la creación de datos de fitness generados falsas por su propia cuenta,” engañar a los servidores de la compañía para que acepte datos falsos. Efecto abierto y Citizen Lab varias aplicaciones creadas diseñadas para engañar a los servidores rastreador de ejercicios para aceptar información falsa, con Bellabeat HOJA, quijada, y Withings Health Mate quedarse corto.
Vídeo: Agresión a Periodistas: Oficio en Riesgo (2da parte)
“Hemos enviado una solicitud a la quijada que indica que nuestro usuario de prueba tomó diez mil millones de pasos en un solo día”
Su aplicación distribuida de manera uniforme los tiempos de paso en intervalos fijos durante un período de tiempo deseado, creando una distribución artificial de pasos. Los investigadores concluyeron un enfoque más sofisticado que “asignar aleatoriamente medidas para establecer una distribución de apariencia más real” para escapar de la detección adicional.
¿Por qué es esto un problema?
rastreadores de la aptitud puede mantener un flujo continuo de recogida de datos personales. vectores de recogida de datos comunes incluyen pasos, ritmo cardíaco, los patrones de sueño, elevación, geolocalizaciones, la calidad de las actividades y los tipos de actividades.¿Cuánto de su datos personales pueden Smart Devices pista?¿Cuánto de su datos personales pueden Smart Devices pista?casa de privacidad y seguridad inteligentes siguen siendo tan real como siempre. Y aunque nos gusta la idea de tecnología inteligente, esto es sólo una de las muchas cosas a tener en cuenta antes de sumergirse ...Lee mas
Algunos de los seguidores de fitness animan a sus usuarios a participar en actividades físicas o sociales adicionales, como la especificación de alimentos para el conteo calórico y análisis, el estado de ánimo personal en determinados momentos del día (también en relación con las actividades y el consumo de alimentos), para registrar sus objetivos de fitness y seguir el progreso a través del tiempo, o para competir contra otros entusiastas del fitness en ambientes del tablero de instrumentos de los medios sociales de estilo gamified.
Las cuestiones planteadas por Efecto abierto y Citizen Lab ilustrar los peligros de depender de los seguidores de la aptitud para proporcionar datos personales fiables en una variedad de situaciones. los datos de seguimiento de fitness se ha usado para asegurar las pólizas de seguro, o representan progresos realizados con problemas médicos, sin embargo, vemos que los datos podrían ser fácilmente falsificadas.
Por otra parte, hacer estas cuestiones hacen que los datos de la propia naturaleza de estas empresas de tecnología de la aptitud de seguimiento cuestionable? ¿Cómo estos pobres intentos en la protección de datos se traducen en sus otros productos? El problema no está limitado a los seguidores de fitness solo, y más debe hacerse tanto por los ciudadanos y los reguladores para asegurar que los datos del usuario está protegido en todo momento, para que no nos encontramos con sectores enteros socavado por su aparente falta de cuidado y discreción con datos privados.
¿Qué sigue?
Las conclusiones del informe son claras: el aumento de la seguridad basada en las recomendaciones de Efecto abierto y Citizen Lab. la seguridad personal y privado es grave, y debe abordar las cuestiones a medida que llegan. Pero no sólo se mejora la seguridad que se necesita. usuarios de seguimiento de la aptitud deben entender que su datos se envían a, donde se almacena y que otras partes tengan acceso a ella.
Es responsabilidad de las empresas de tecnología para comunicarse con sus usuarios toda la profundidad de la vigilancia técnica que han aceptado también, si se dan cuenta o no, junto con sus potenciales riesgos.
¿Es hora de tirar el rastreador de la aptitud de distancia? Probablemente no, especialmente si usted tiene un reloj de Apple. A pesar de las reacciones mixtas hacia los resultados del informe técnico de los fabricantes rastreador de ejercicios, es poco probable que existan estas vulnerabilidades por mucho tiempo.No el reloj de Apple: 9 Otros Wearables iPhone-FriendlyNo el reloj de Apple: 9 Otros Wearables iPhone-FriendlyEl anuncio del reloj de Apple fue una gran noticia, pero está lejos de ser el único dispositivo portátil diseñado para ser utilizado con un iPhone.Lee mas
O, al menos podemos esperar que no existirán por mucho tiempo.
¿Le preocupa que su control de la aptitud? ¿Ha perdido datos a través de tecnología portátil? ¿Que pasó? Háganos saber de abajo!