Cyfrowe profilowanie: eksperci z Kaspersky Lab badają, jak wiele o użytkowniku może powiedzieć jego smartwatch
Nowe badanie Kaspersky Lab pokazuje, że smartwatche mogą stać się narzędziami do szpiegowania swoich właścicieli, ukradkowo gromadząc sygnały akcelerometru i żyroskopu, które – po odpowiedniej analizie – można przekształcić w zestawy danych unikatowych dla właściciela danego zegarka. Informacje te, w przypadku nadużycia, umożliwiają monitorowanie aktywności użytkownika, łącznie z wprowadzanymi wrażliwymi informacjami. Badacze z Kaspersky Lab przyjrzeli się wpływowi, jaki na codzienne życie użytkowników oraz bezpieczeństwo ich informacji może mieć rozpowszechnienie Internetu Rzeczy.
W ostatnich latach branża cyberbezpieczeństwa wykazała, że prywatne dane użytkowników stają się bardzo cennym towarem ze względu na niemal nieograniczone możliwości wykorzystania ich do celów przestępczych – od wyrafinowanego cyfrowego profilowania ofiar cyberprzestępców po prognozy rynkowe dotyczące zachowania użytkowników. Jednak podczas gdy obawy konsumentów związane z nadużyciem informacji osobowych rosną i wielu z nich kieruje swoją uwagę na platformy online oraz metody gromadzenia danych, bez ochrony pozostają inne – mniej oczywiste – źródła zagrożeń. Na przykład, aby utrzymać zdrowy styl życia, wiele osób korzysta z pomocy urządzeń lub aplikacji służących do pomiaru aktywności fizycznej.
Inteligentne urządzenia noszone na sobie, w tym smartwatche oraz opaski fitnessowe, lub aplikacje do pomiaru aktywności fizycznej, są powszechnie wykorzystywane podczas aktywności sportowej w celu monitorowania zdrowia, otrzymywania powiadomień itd. W celu wykonywania swoich głównych funkcji większość tych urządzeń jest wyposażona we wbudowane czujniki przyspieszenia (akcelerometry), które często są połączone z czujnikami obrotu (żyroskopy) umożliwiającymi pomiar liczby kroków oraz określenie aktualnej pozycji użytkownika. Eksperci z Kaspersky Lab postanowili zbadać, jakie informacje dotyczące użytkownika mogą zostać przekazane przez takie czujniki nieupoważnionym osobom trzecim. W tym celu przyjrzeli się bliżej kilku smartwatchom różnych producentów.
Aby zbadać tę kwestię, eksperci opracowali dość prostą aplikację na smartwatcha, która rejestrowała sygnały z wbudowanych akcelerometrów oraz żyroskopów. Rejestrowane dane były następnie zapisywane do pamięci urządzenia lub przesyłane do sparowanego przy pomocy technologii Bluetooth smartfona.
Przy użyciu algorytmów matematycznych możliwe było zidentyfikowanie schematów zachowania, jak również kiedy, gdzie i jak długo użytkownicy byli w ruchu. Co najistotniejsze, można było zidentyfikować “wrażliwe” aktywności użytkownika, takie jak wprowadzanie hasła na komputerze (z dokładnością do 96%), wpisywanie PIN-u w bankomacie (dokładność około 87%) oraz odblokowywanie telefonu komórkowego (dokładność około 64%).
Wspomniany zestaw danych pozwala zatem na zdefiniowanie schematu zachowania unikatowego dla właściciela urządzenia. Jednak przy użyciu tych informacji potencjalny atakujący może pójść o krok dalej i spróbować zidentyfikować tożsamość użytkownika – za pośrednictwem adresu e-mail żądanego na etapie rejestracji aplikacji lub za pośrednictwem aktywowanego dostępu do danych uwierzytelniających do konta w systemie Android. Następnie zidentyfikowanie szczegółowych informacji dot. ofiary, w tym jej rutynowych czynności i momentów wprowadzania istotnych danych, to już tylko kwestia czasu. A biorąc pod uwagę rosnącą wartość prywatnych danych użytkowników, perspektywa wykorzystywania takich informacji przez osoby trzecie do osiągnięcia zysków nie wydaje się odległa.
Nawet jeśli cyberprzestępcy nie wykorzystają tych możliwości do zarabiania pieniędzy, ale do własnych szkodliwych celów, możliwe konsekwencje będą ograniczone jedynie ich wyobraźnią i poziomem wiedzy technicznej. Możliwe jest np. odszyfrowanie otrzymanych sygnałów przy użyciu sieci neuronowych, zastawienie pułapki na ofiary lub zmodyfikowanie bankomatu, z którego regularnie korzysta dana ofiara. Jak mogliśmy się już przekonać, przestępcy są w stanie uzyskać 80% dokładność podczas prób odszyfrowania sygnałów akcelerometru czy identyfikowania hasła lub kodu PIN wyłącznie przy użyciu danych zebranych z czujników smartwatcha.
Inteligentne urządzenia noszone na sobie to nie tylko miniaturowe gadżety, ale cyberfizyczne systemy, które potrafią rejestrować, przechowywać i przetwarzać rozmaite parametry związane z użytkownikiem. Z naszego badania wynika, że nawet bardzo proste algorytmy uruchomione na samym smartwatchu potrafią przechwytywać profil sygnałów akcelerometru oraz żyroskopu danego użytkownika. Profile te mogą zostać następnie wykorzystane do śledzenia aktywności użytkownika, w tym momentów wprowadzania wrażliwych danych. Wszystko to można wykonać za pośrednictwem legalnych aplikacji na smartwatche, które ukradkowo wysyłają osobom trzecim dane dotyczące określonych sygnałów – powiedział Siergiej Lurie, entuzjasta bezpieczeństwa oraz współautor badania, Kaspersky Lab.
Badacze z Kaspersky Lab zalecają użytkownikom zwracanie uwagi na następujące podejrzane sygnały podczas noszenia inteligentnych urządzeń.
- Aplikacja wysyła żądanie pobrania informacji dotyczących konta użytkownika – takie zdarzenie powinno wzbudzić niepokój, ponieważ przestępcy mogą łatwo stworzyć “cyfrowy odcisk palca” właściciela urządzenia.
- Niepokojącym sygnałem jest również żądanie przez aplikację zgody na wysyłanie danych geolokalizacyjnych. Aplikacjom nie należy udzielać dodatkowych zezwoleń na pomiar aktywności fizycznej pobierany na smartwatcha ani ustawiać swojego firmowego adresu e-mail jako loginu.
- Należy również zwracać uwagę na przyspieszone zużycie baterii urządzenia. Jeśli gadżet wyczerpuje się w ciągu zaledwie kilku godzin zamiast jednego dnia, należy sprawdzić, co tak naprawdę robi. Może rejestrować sygnały lub, co gorsza, wysyłać je na zewnątrz.
Więcej informacji na temat inwigilacji za pośrednictwem inteligentnych urządzeń do noszenia na sobie znajduje się na stronie https://r.kaspersky.pl/M443W.