facebook
Gdy smartwatch staje się koszmarem
03 lutego 2016

Wygląda na to, że obecnie każda firma ma w swojej ofercie jakiegoś smartwatcha. Urządzenia te mogą one robić wszystko – śledzić rytm Twojego serca, wyświetlać powiadomienia i SMS-y, inicjować rozmowy telefoniczne, a nawet – tak, to niewiarygodne – pokazywać czas ;) Ale czy wiesz, że mogą również być używane do rozpoznawania tego, co piszesz na klawiaturze?

OK, to jest nowość.

Urządzeniom noszonym – takim jak opaski do fitnessu czy smartwatche – od początku towarzyszą obawy użytkowników związane z bezpieczeństwem. Przede wszystkim chodzi o gromadzone przez nie dane, które przesłane są do chmury i mogą wpaść w niepowołane ręce lub zostać sprzedane za duże pieniądze.

Producenci urządzeń przeznaczonych do używania podczas fitnessu przekonują użytkowników, że ich dane są bezpieczne, a w tym samym czasie masowo sprzedają inteligentne opaski klientom korporacyjnym. Firmy mogą użyć tych gadżetów do monitorowania stanu zdrowia swoich pracowników, a przecież dane prywatne zdecydowanie nie powinny być traktowane w taki sposób. Jednak okazuje się, że prawdopodobnie okazuje się, że może być jeszcze gorzej.

Gdy Roman Unuchek z Kaspersky Lab odkrył, że bardzo łatwo można połączyć smartfona z praktycznie każdą opaską fitnessową, która jest połączona z innym urządzeniem, zakończył swoje badanie całkiem pozytywnym stwierdzeniem:

„Hakując moją bransoletkę, oszust nie uzyska dostępu do wszystkich danych, bo one nie są przechowywane w urządzeniu czy telefonie, lecz są regularnie przesyłane przez oficjalną aplikację do chmury”.

Później Tony Beltramelli, student z Uniwersytetu IT w Kopenhadze, udowodnił, że oszust nie potrzebuje tych danych, aby zaszkodzić właścicielowi noszonego urządzenia. W swojej pracy magisterskiej pokazał, że jeśli ktoś uzyska dostęp do smartwatcha, może śledzić gesty właściciela i użyć inżynierii wstecznej, aby przełożyć to na to, co piszesz na klawiaturze – na konkretne symbole.

Badacz opierał się na stwierdzeniu, że każdy użytkownik posiada swój własny unikatowy styl pisania. Naukowcy już kiedyś zasugerowali, że ten fakt może zostać użyty do zwiększenia bezpieczeństwa: aby uzyskać dostęp do czegoś, musisz oczywiście wprowadzić hasło, jednak musisz to zrobić w charakterystyczny sposób — tak jak robi to właściciel urządzenia.

W swoim eksperymencie Beltramelli używał opartego na Androidzie smartwatcha, ręcznie wykonanej klawiatury numerycznej, a także specjalnego oprogramowania wykorzystującego pewne cechy sztucznej inteligencji. Program znal jego styl pisania, więc dane przekazywane przez czujniki ruchu wbudowane w smartwatcha mógł przypisać cyfrom, które badacz wprowadzał na klawiaturze, uzyskując ponad 60% dokładność.

Okej, ktoś może użyć zhakowanego smartwatcha, aby dowiedzieć się, co piszemy na klawiaturze numerycznej. I co z tego?

Z technicznego punktu widzenia może się zdarzyć wiele złych rzeczy.

Taką klawiaturą numeryczną może być ta, na której wprowadzasz swój PIN w bankomacie, czytnik kart w sklepie lub ekran logowania Twojego telefonu — znając kod, złoczyńca z łatwością uzyska wszystkie informacje, łącznie z kontaktami, wiadomościami, danymi konta bankowego itp.

Co więcej, jeśli ktoś może stworzyć program, który rozpoznaje cyfry na klawiaturze numerycznej, prawdopodobnie ktoś inny może ulepszyć tę funkcję, aby na tradycyjnej klawiaturze komputera rozróżniane były poszczególne litery. W tym przypadku atakujący może być w stanie śledzić to, co piszesz, więc zagrożona będzie cała Twoja korespondencja. Cóż, jeśli masz tylko jednego smartwatcha, śledzona może być tylko jedna ręka, ale połowa liter, które naciskasz, może wystarczyć do zrozumienia, co piszesz.

Nie mamy żadnych dowodów na to, że dzieje się tak już w rzeczywistości, ale uwierz nam, z pewnością nie chciałbyś tego doświadczyć. Na pewno jednym ze sposobów, aby się przed tym ochronić, jest regularne sprawdzanie, czy smartwatch jest wolny od szkodliwych programów.

Bezpieczeństwo swoich urządzeń noszonych można zwiększyć na dwa sposoby.

Pobieraj swoje aplikacje tylko z oficjalnych sklepów typu Apple App Store, Google Play czy Amazon Appstore. Chociaż nie są one w 100 % odporne na ataki, są przynajmniej sprawdzane przez przedstawicieli sklepów i jakiś system filtrowania — nie każda aplikacja może się tam znaleźć.

Używaj solidnego rozwiązania zabezpieczającego. Ponieważ wszystkie aplikacje, które chcesz zainstalować na swoim zegarku, muszą najpierw zostać pobrane na telefon i mogą one być automatyczne skanowane w poszukiwaniu zagrożeń.

Zostań naszym fanem!